Handboek Digitale Vervanging

Maat: px
Weergave met pagina beginnen:

Download "Handboek Digitale Vervanging"

Transcriptie

1 Handboek Digitale Vervanging Auteur: Arjan Leijsten Versie:

2 Inhoud 1. Inleiding p Waarom een handboek vervanging? 1.2 Verantwoordelijkheden en bevoegdheden. 2. Reikwijdte van het vervangingsbesluit. p Welke documenten vervangen behoren te worden. 2.2 Welke documenten niet vervangen worden. 3. Inrichting van het vervangingsbesluit. p Hoe wordt de post ontvangen. 3.2 Selectie van de post. 3.3 Scanning. 3.4 Registratie in het DMS. 3.5 Behandelen van documenten in het DMS 3.6 Archivering 3.7 Vernietiging 4. Uitvoering en beheer van het vervangingsbesluit. p Bijlages. 5.1 Selectiedocument inkomende post 2015 p Servicenormen DIV 2012 p Proces analoge post 2015 p Scaninstellingen DIV scanner 2015 p Scaninstellingen HP Designjet T1120 p Scaninstellingen MF 2015 p Informatie beveiligingsbeleid 2015 t/m 2017 p Poststromen gemeente Sint-Michielsgestel p. 63 1

3 1 Inleiding 1.1 Waarom een handboek vervanging? Sinds 2007 werkt onze organisatie met het DMS/Zaaksysteem Verseon waarbij de ingekomen, uitgaande en interne documenten gescand en digitaal in worden opgeslagen. Op dit moment werkt onze organisatie in een hybride situatie waarbij zowel digitale als analoge (papieren) archiefbescheiden worden gearchiveerd. Deze situatie vergt veel tijd en extra kosten. Daarnaast wordt de beheersbaarheid en de controle op de volledigheid van de dossiers bemoeilijkt. Om deze redenen is er besloten om (uiteindelijk) alle daarvoor in aanmerking komende archiefbescheiden in het daarvoor aangewezen digitaal beheersysteem, het DMS, op te slaan en te beheren. Dat betekent dat de analoge originelen door scanning omgezet gaan worden naar digitale originelen om als zodanig opgenomen te kunnen worden. De Archiefwet 1995 (Aw) geeft zorgdragers (College van Burgemeesters en Wethouders) de mogelijkheid om archiefbescheiden te vervangen door (digitale) reproducties om vervolgens de fysieke originelen te mogen vernietigen. De reproducties krijgen daarna de status van origineel en zijn daarmee archiefbescheiden in de zin van de Archiefwet. Tot voor kort moest voor de vervanging toestemming gevraagd worden aan het college van Gedeputeerde Staten. M.i.v. 1 januari 2013 is deze toestemming van Gedeputeerde Staten niet meer noodzakelijk. Het college van B&W neemt nu zelf het besluit tot vervanging van de te bewaren documenten. Dit is een gevolg van de Wet Revitalisering Generiek Toezicht en wijziging van de Archiefwet. Het besluit moet wel gepubliceerd worden en gemeld aan Gedeputeerde Staten en gemeentearchivaris. 2

4 1.2 Verantwoordelijkheden en bevoegdheden Op grond van artikel 7 van de Aw is het College van Burgemeester en wethouders bevoegd archiefbescheiden te vervangen door reproducties, teneinde de aldus vervangen bescheiden te vernietigen. Voor zover de documenten niet zijn overgebracht naar de archiefbewaarplaats is de coördinator van het team documentaire informatievoorziening verantwoordelijk voor de uitvoering van de informatievoorziening en het beheer van de documenten. De verantwoordelijkheid over de technische status van de archiefruimte ligt bij onze organisatie. BHIC is verantwoordelijk voor de archieven die zich bevinden in de archiefbewaarplaats van BHIC. Het team DIV is belast met de allround DIV werkzaamheden. Deze werkzaamheden worden uitgebreid beschreven in hoofdstuk 3: Inrichting van het vervangingsproces. 3

5 2. Reikwijdte van het vervangingsbesluit In dit gedeelte wordt besproken welke documenten wel of niet in aanmerking komen voor het vervangingsbesluit. 2.1 Welke documenten behoren vervangen te worden? De vervanging heeft betrekking op de papieren documenten die de onze organisatie ontvangt of opmaakt voor uitoefening van haar taken. Deze documenten worden door scanning gedigitaliseerd en worden opgenomen en beheerd in het DMS: Documenten die op papier binnenkomen. Documenten die op papier worden verstuurd en waarvan een fysiek exemplaar bewaard blijft en wordt voorzien van een natte handtekening. Documenten die tijdens de zaakafhandeling enige tijd in papieren vorm beschikbaar zijn geweest en waarop ten aanzien van de inhoud belangrijke aantekeningen zijn gemaakt. Bij de postselectie (zowel analoog als digitaal via de mail) worden alle documenten geregistreerd in het DMS. De documenten die niet geregistreerd worden en volgens de Archiefwet geen archiefbescheiden zijn: Tijdschriften (vak gerelateerde tijdschriften worden fysiek doorgestuurd naar de desbetreffende afdeling). Reclame Abonnementen Nieuwsbrieven Boekwerken Vrijblijvende offertes Uitnodigingen In hoofdstuk 3.2 (Inrichting van het vervangingsproces) zal het selectieproces van de ingekomen post uitgebreid worden beschreven. 4

6 2.2 Welke documenten worden niet vervangen door digitale reproducties? In een aantal gevallen is het vanuit historisch oogpunt onwenselijk om het fysieke document te vernietigen na scannen. Hierbij gaat het om de intrinsieke waarde van het analoge document. Elementen en kenmerken die van belang zijn bij de beantwoording van de vraag of sprake is van documenten met intrinsieke waarde zijn: 1. De uiterlijke vorm van het bestanddeel is van belang voor de kennis van de technologische ontwikkeling (glasnegatief, kerfstok). 2. Het bestanddeel heeft esthetische of artistieke waarde. 3. Het bestanddeel heeft unieke of bijzondere uiterlijke kenmerken (zegels, watermerken en dergelijke). 4. Het stuk is zo oud dat het daaraan zeldzaamheidswaarde ontleent. 5. Het stuk heeft aanzienlijke waarde als tentoonstellingsobject. 6. Er bestaat twijfel over de authenticiteit van het bestanddeel, waarbij alleen onderzoek van de originelen uitsluitsel kan geven. 7. Het bestanddeel is van aanzienlijk belang, vanwege de directe relatie met beroemde of historisch belangrijke personen, gebeurtenissen, plaatsen, zaken of voorwerpen. 8. Het bestanddeel is van belang als documentatie voor de oprichting of wettelijke grondslag van een institutie. 9. Het stuk is van belang om geformuleerd beleid op het hoogste beleidsniveau binnen een bestuurslaag c.q. in de organisatie te documenten. Dit selectieproces staat beschreven in hoofdstuk 3.2. De selectieprocedure voor inkomende post staat beschreven in bijlage 1. 5

7 3. Inrichting van het vervangingsproces In dit gedeelte zal dieper worden ingezoomd op het vervangingsproces. Het gehele proces wordt van A (hoe komt een document binnen bij de gemeente) tot en met Z (hoe wordt een document afgehandeld / vernietigd) beschreven. Dit proces wordt verdeeld over de volgende procesonderdelen: 1. Hoe wordt de post ontvangen 2. Selectie van de post 3. Scanning 4. Registratie in het DMS 5. Behandelen van documenten in het DMS 6. Archivering 7. Vernietiging In elk onderdeel zal dieper worden ingezoomd op drie afzonderlijke aandachtsvelden, namelijk: 1. Het vervangingsproces beschreven. 2. De technische aspecten van het vervangingsproces. 3. De kwaliteitscontrole tijdens het vervangingsproces. De aandacht zal uitgaan naar de analoge stukken in de organisatie. Het vervangingsbesluit gaat immers over het vervangen van analoge documenten door digitale reproducties. 3.1 Hoe wordt de post ontvangen Het proces Dagelijks wordt de analoge post ontvangen bij de receptie en de brievenbussen van de gemeente. DIV krijgt deze post rond 8:30 aangeleverd. Gedurende de dag worden er door de bodes 4 postrondes gelopen. Dit levert poststukken op die zijn aangemaakt door de behandelend ambtenaren en worden aangeleverd bij DIV. Ook 6

8 kan er post van burgers gedurende de hele dag worden aangeleverd. Dit heeft invloed op de servicenormen die zijn opgesteld ten aanzien van de behandeling van een ingekomen poststuk door DIV (Bijlage 2). 3.2 Selectie van de post Het proces De selectie van de ingekomen post wordt uitgevoerd door alle functies binnen het team DIV, namelijk door: 1: Medewerker DIV 2: Allround DIV medewerker 3: Senior medewerker DIV De Senior medewerker DIV zal hier een aansturende en begeleidende rol in aannemen. Dagelijks worden er 2 DIV medewerkers ingeroosterd op de post. De registratie van de digitale en analoge post wordt gezien als twee aparte dagtaken. Bij de selectie van de analoge post wordt allereerst gecontroleerd of de post daadwerkelijk gericht is aan de gemeente. Vervolgens worden er aparte stapeltjes aangemaakt met stukken die openbaar dan wel vertrouwelijk dienen worden te behandeld. Vertrouwelijke postukken worden niet geopend, deze worden door de geadresseerde op de afdeling DIV beoordeeld voor registratie. Zie bijlage 3 voor het postproces van de analoge post. Na het openen van de brieven wordt er bepaald welk vervolgtraject het poststuk krijgt. Er wordt een selectie gemaakt uit de volgende opties: - Het document wordt gescand en vervolgens geregistreerd in het DMS. - Indien van toepassing wordt het documenten na het scannen doorgestuurd naar de betreffende afdeling. (Zie o.a. 2.2: documenten die niet vervangen worden door digitale reproducties). - Het document wordt direct vernietigd (bijv. reclame). 7

9 3.3 Scanning Het proces Na de selectie van de post worden de postukken die gescand dienen te worden voorbereid voor de scan procedure. Onder deze voorbereiding wordt verstaan: - Het verwijderen van nietjes en bindmateriaal. - Elk poststuk wordt in een apart dossiermapje gestopt. - Er wordt bepaald of een poststuk in kleur of in zwart/wit gescand dient te worden. Deze keuze wordt bepaald op basis van een visuele scan van het document door de medewerker die de post scant. - Elk poststuk wordt voorzien van een voor / scheidings- blad. Het scannen wordt uitgevoerd door de DIV medewerker die staat ingeroosterd voor de digitale post. De selectie van ingekomen poststukken wordt middels deze methodiek gecontroleerd door twee medewerkers. Vervolgens wordt de post geregistreerd door de medewerker die staat ingeroosterd bij de analoge post. Deze medewerker is verantwoordelijk voor het gehele registratieproces van het poststuk. Na het scannen worden de digitale reproducties overgezet naar het DMS. Uitgaande en interne documenten worden door de behandelaars zelf in het systeem geregistreerd. In Verseon worden er autorisaties toegepast voor het behandelen van een document. De volgende opties zijn mogelijk voor de behandelend ambtenaar: Toevoegen van een document. Lezen van een document. Wijzigen van een document. Verwijderen van een document. Op basis van eenduidige profielen (rollen) is duidelijk wie voor welke taken bevoegd is en wie niet. Daardoor is het niet voor alle gebruikers mogelijk om een uitgaand document te voorzien van de digitale handtekening. Documenten die door werknemers zelf gescand en geregistreerd worden voldoen aan de minimale kwaliteitseisen van een scan (Zie Technische inrichting scan 3.3.2). 8

10 3.3.2 De Technische inrichting Scansoftware De software die gebruikt wordt voor het digitaliseren van documenten tot en met A3 formaat is Kofax Ascent Capture. Binnen de Kofax software wordt na het scannen van een document het gescande document omgezet van TIFF naar PDF /A om vervolgens geïmporteerd te worden naar het DMS voor registratie van het document. Leverancier: BM Consultants Versie: Kofax Capture (versie: ) De inkomende post wordt gescand met de scanner van Canon (Canon-DR-9080C) Alle poststukken van A3 formaat en kleiner worden met deze scanner gescand. De scaninstellingen staan beschreven in de Bijlage 4. Op basis van proeven is geconstateerd dat deze instellingen zorgen voor optimale scan kwaliteiten. Kleur wordt gescand in Color true (24-bits). Voor gedrukte teksten wordt de kwaliteit gerelateerd aan de letterhoogte (h is de hoogte van de kleinste letter e van de onderkast in het originele document in mm) en de resolutie (dpi). Er worden voor de berekening verschillende formules gebruikt: Formule voor gedrukte tekst zwart-wit: QI = dpi x 0,039h / 3 Formule voor gedrukte tekst in grijswaarden en kleur: QI = dpi x 0,039h / 2 QI: 8 = hoge kwaliteit (alles is bijzonder goed leesbaar) QI: 5 = gemiddelde kwaliteit (alles is goed leesbaar) QI: 3,6 = slechte kwaliteit (alles is met moeite leesbaar) Uitgaande van een gemeten minimale waarde van 1,0 mm voor h en van de waarde 5,0 voor de kwaliteitsindex (dat wil zeggen alles is goed leesbaar = gemiddelde kwaliteit) levert dit als gewenste scanresolutie op 259 DPI, wat in de praktijk neerkomt op minimaal 300 DPI. 9

11 De documenten met een groter formaat dan A3 worden gescand met de HP scanner (HP Designjet T1120 SD-MFP). De scaninstellingen van deze scanner staan beschreven in Bijlage 5. Zwart-wit tekeningen worden gescand in zwart wit. Bij documenten in kleur bestaat er de mogelijkheid om in kleur te scannen. Interne en uitgaande documenten worden gescand door medewerkers via de multifunctionals. De minimale scaninstellingen van deze multifunctionals staan beschreven in de Bijlage 6. Bij de multifunctionals wordt standaard in kleur (full color) gescand, dit is een keuze die gemaakt is door de organisatie. Het aantal bits waarmee gescand wordt is 24. Het bestandsformaat PDF / A Onze organisatie gebruikt zowel Adobe Acrobat Professional versie en de PDF generator van Kofax Ascent Capture versie 8.0 om PDF / A te creëren. PDF / A is gebaseerd op PDF versie 1.4 en staat voor Portable Document Format Archivable en is bedoeld voor de archivering van documenten: het duurzaam toegankelijk houden van documenten gedurende een langere periode. Gescande documenten en documenten met een digitale handtekening worden omgezet naar PDF/A formaat. Volgens de Archiefregeling moeten digitale archiefbescheiden, uiterlijk op het tijdstip van overbrenging, opgeslagen worden in een valideerbaar en volledig gedocumenteerd bestandsformaat dat voldoet aan een open standaard. PDF/A voldoet aan deze eisen. De specificaties van PDF/A zijn opgenomen in ISO Kwaliteitscontrole De scans worden gecontroleerd door degene die de scanningprocedure heeft uitgevoerd. De eerste controle vindt plaats tijdens het scannen zelf. Het originele document wordt vergeleken met de scan op de pc. Er wordt gecontroleerd op: - Leesbaarheid - Volledigheid (Aantal gescande documenten komt overeen met aantal pagina s) - Geen tekstafwijkingen 10

12 - Geen kleurafwijkingen 1 - Rotatie - Overbodige blanco pagina s. Deze worden verwijderd. Na deze eerste controle worden de scans overgeplaatst naar scandocumenten in het DMS Verseon. De tweede controle van het gescande document vindt plaats als het document geregistreerd wordt. 3.4 Registratie in DMS Het proces Na het scannen worden de digitale reproducties automatisch in het DMS geplaatst. De gescande poststukken zijn terug te vinden bij de scandocumenten van die dag. Vanuit dit venster worden de poststukken geselecteerd voor registratie. Vervolgens vinden de volgende stappen plaats: Stap 1: Bepalen of het poststuk geregistreerd wordt als nieuwe zaak of bijlage bij zaak. Stap 2: Het koppelen van een zaaktype aan een nieuwe zaak. / Het kiezen van een documentsoort als het poststuk een bijlage is van een zaak. Stap 3: Het poststuk wordt voorzien van Metagegevens: - Registratie kenmerk (automatisch) - Registratie datum (automatisch) - Datum document (handmatig) - Afdeling (handmatig, afhankelijk van ZTC) - Aanname (handmatig) - Vertrouwelijkheid (automatisch), indien niet openbaar (handmatig) - Ontvangstdatum (handmatig) - Onderwerp (handmatig) 1 In de meeste gevallen wordt er in zwart/wit gescand. Tijdens de kwaliteitscontrole zal gecontroleerd worden of er kleurafwijkingen bestaan tussen het origineel en de scan. Er wordt niet structureel gekalibreerd. 11

13 - NAW gegevens (handmatig) - ZTC (handmatig) - Auteur registratie (automatisch) - Opsteller (uitgaande registratie) (Handmatig) - Kenmerk afzender (handmatig) - Locatie (openbare ruimtemelding) (handmatig) - Ontvangstbevestiging (OLO) (handmatig) - adres aanvrager en gemachtigde (OLO) (Handmatig) - Dossier koppelen (optioneel) (handmatig) - Medewerker koppelen (personeel) (handmatig) - Kernomschrijving (personeel) (handmatig) Stap 4: Het werkproces wordt gestart. Dit wil zeggen dat het poststuk in de werkvoorraad van de behandelend ambtenaar wordt geplaatst De Technische inrichting Bij de registratie van een te behandelen poststuk wordt er door de DIV medewerker die verantwoordelijk is voor de registratie een werkproces aan het poststuk gekoppeld. Deze werkprocessen worden ingericht binnen Verseon en I-Navigator. Het werkproces bepaald o.a. de routing van het poststuk en de bewaartermijn. I- Navigator staat gekoppeld aan het DMS. Wijzigingen binnen I-Navigator worden geexporteerd naar het DMS. Deze wijzigingen kunnen alleen uitgevoerd worden door medewerkers van DIV die daarvoor geautoriseerd zijn. De logging van dit proces wordt bijgehouden en uitgevoerd door ICT Kwaliteitscontrole In het kader van de kwaliteitscontrole wordt er wekelijks door twee medewerkers DIV een controle uitgevoerd op alle registraties die in een betreffende periode zijn uitgevoerd. Mogelijke foutieve registraties worden aangehaald in een daarvoor bestemd LEAN overleg waarbij alle DIV medewerkers worden uitgenodigd. Dit LEAN overleg heeft als doel om de kwaliteit van de registraties te verbeteren 12

14 (juistheid, volledigheid, leesbaarheid en terugvindbaarheid). De kwaliteit van de registraties heeft betrekking op het volgende: - Uniformiteit in de omschrijvingen van een registratie. - Alle verplichte velden van een registratie behoren ingevuld te zijn. - Zaken zijn indien verplicht gekoppeld aan een digitaal dossier. - Elke zaak is gekoppeld aan het daarvoor bestemde ZTC. Ook hier uniformiteit in aanbrengen. - Uitgaande brieven die digitaal ondertekend zijn behoren geconverteerd te zijn. 3.5 Behandelen van documenten in het DMS Het proces Na de registratie van een document in het DMS wordt het document gekoppeld aan een werkproces. Dit resulteert in een taak voor een bepaalde afdeling/werknemer. Een medewerker kan vanuit zijn eigen werkvoorraad de ingekomen zaak ter behandeling nemen. Na afhandeling wordt de zaak doorgezet naar een andere behandelaar. DIV opereert als laatste behandelaar van een zaak door de zaak uiteindelijk te archiveren Technische inrichting Het technisch beheer is verantwoordelijk voor de instandhouding van de infrastructuur (apparatuur en programmatuur) die voorwaardelijk zijn voor de beschikbaarstelling van het informatiesysteem. Het technisch beheer voor Verseon is belegd bij Plein ICT. 13

15 3.6 Archivering Het proces Nadat de analoge documenten zijn gescand en de kwaliteit daarvan is gecontroleerd worden deze tijdelijk bewaard in dozen. In de archiefdozen worden de analoge documenten op datum van ontvangst opgeborgen en na zes weken vernietigd. Deze zes weken worden in acht genomen zodat de proceseigenaar de kans heeft om de scan te accepteren als origineel document. De digitale afgehandelde zaken in het DMS worden door DIV gearchiveerd in de digitale dossiers Technische inrichting De organisatie waarborgt het beheer van digitale archiefbescheiden op de langere termijn door gebruik te maken van het archiveringsformaat PDF/A, (eerder besproken bij de Scanning 3.3) wat een open en gestandaardiseerde formaat is voor de langere termijn bewaring. Tevens wordt de inrichting zodanig gedocumenteerd dat veranderingen geen problemen met betrekking tot duurzaamheid oplevert Kwaliteitscontrole Alle zaken die worden afgehandeld en in hun laatste stadium worden doorgezet naar DIV komen terecht in de daarvoor bestemde digitale archiefbak. Medewerkers van team DIV controleren in deze archiefbak of alle metagegevens correct en uniform zijn ingevuld. Na deze controle worden de documenten door DIV definitief afgehandeld en gearchiveerd. Zie bijlage 7 voor het informatiebeveiligingsplan 3.7 Vernietiging Na zes weken worden de papieren originelen vernietigd. De frequentie is eenmaal per week. De vernietiging wordt uitgevoerd door DIV. Deze taak wordt wekelijks vastgelegd in het werkrooster van de documentaire informatievoorziening. 14

16 De digitale scans zijn, door de vervanging, originele archiefstukken geworden. De papieren documenten hebben daarmee hun waarde verloren en worden middels een verklaring van vernietiging vernietigd. Op grond van artikel 8 van het Archiefbesluit 1995 wordt voor elk vervangingsproces een verklaring van vervanging opgesteld. Deze verklaring bevat een specificatie van de vervangen archiefbescheiden in de betreffende periode en beschrijft op grond waarvan vervanging heeft plaatsgevonden en de wijze waarop dit is gebeurd. Een exemplaar van deze verklaring dient blijvend bewaard te blijven. Wekelijks worden er controles uitgevoerd ten aanzien van het vernietigingsbeleid in het kader van kwaliteitscontrole DIV. De uitvoering daarvan is belegd bij alle functies binnen het team DIV. De controles zijn er primair op gericht dat de te vernietigen stukken daadwerkelijk vernietigd worden in de vastgelegde periode. 15

17 4. Uitvoering en beheer van het vervangingsbesluit Doel van dit handboek vervanging is om de informatiestromen binnen de organisatie verder te digitaliseren. De originele fysieke documenten worden vervangen door digitale reproducties. Na goedkeuring van dit handboek worden er intern een aantal nieuwe projecten opgepakt. Een project dat parallel loopt met dit handboek vervanging is het onderzoek naar de informatiestromen binnen gemeente Sint-Michielsgestel. Op basis van dit onderzoek kunnen we concluderen in welke processen er vervanging kan worden toegepast. Deze processen zullen verder geanalyseerd worden door afspraken te maken met de proceseigenaren. Verder zal dit onderzoek uitwijzen in hoeverre er vervanging wordt toegepast buiten het postproces van DIV. Op basis van deze conclusies zullen er werkafspraken volgen met de desbetreffende afdelingen. Binnen het team DIV zullen naar aanleiding van het handboek vervanging een aantal nieuwe werkafspraken gemaakt worden. Een onderdeel van deze werkafspraken zal betrekking hebben op de implementatie van de kwaliteitscontroles binnen het postproces. Het instrueren van de medewerkers DIV en de allrounders is een taak van de senior DIV medewerkers. 16

18 Bijlage 1 Selectie inkomende post DIV Trefwoord Abonnementen Facturen Huiselijk geweld Kabinet / Lintjes Kadaster Nieuwsbrieven Persoonlijk / vertrouwelijk RBL Reclame Retourpost Vakinformatie VNG Wegwijs Omschrijving Doorsturen naar vakafdeling / geadresseerde Doorsturen naar facturen Digitale facturen doorsturen naar Nanneke v.d. Heijden Doorsturen naar Integrale Veiligheid Ongeopend doorsturen naar bestuurssecretariaat Post van kadaster over bijwerking percelen kunnen doorgestuurd worden naar uitvoering Weggooien zowel analoog als digitaal. Digitaal afmelden voor nieuwsbrief Niet openen. Medewerker bellen dat die de post kan komen ophalen en kan openen bij DIV. Indien het ingeboekt moet worden kunnen we het direct doen. Doorsturen naar RBL Wordt direct weggegooid Doorsturen naar afdeling waar brief gemaakt is Wordt direct doorgestuurd naar de vakafdeling Wordt direct weggegooid Alle post doorsturen naar inwonerszaken L1 17

19 Bijlage 2 Intern memo datum : 7 november 2012 van : G de Vaan aan : M. Kasander doorkiesnummer : 151 afdeling : DIV bijlagen : onderwerp : DIV Servicenormen kenmerk : / SERVICENORMEN Taken DIV: 19 Spoed POST INGEKOMEN Fysieke post 20 Digitale post / POST UITGAAND Fysieke post digitaal ondertekend 21 Fysieke post handmatig ondertekend 21 Fysieke post Verzenddatum en besluiten ARCHIVEREN Fysiek archief 22 Digitaal archief (Verseon) INFORMATIE VERSTREKKEN; Archief 23 Verseon 23 DIV-info-telefoon INFORMATIE BEHEREN; Verseon 24 Zaaktypecatalogus / I-navigator DIV-CONSULENT Begeleiden en ondersteunen 25 Nieuwe ontwikkelingen 25 18

20 SERVICENORMEN Het cluster DIV voert de volgende taken uit: - Post registreren en ontvangen; - Archiveren van afgehandelde zaken; - Informatie verstrekken; - Informatie beheren; - DIV-consulent / DIV-adviseur Deze taken behoren tot de dagelijkse DIV-taken. Dagelijkse taken worden ingepland in een werkrooster en zo nodig wordt er projectmatig gewerkt. Projecten worden ingepland in het jaarlijkse prioriteitenoverzicht-div. Door middel van deze planningen (prioriteitenoverzicht-div en werkrooster) worden DIV-uren zo efficiënt mogelijk benut. De organisatie is niet bekend met de servicenormen voor wat betreft DIV-taken. Om deze reden zijn deze servicenormen opgesteld. Na goedkeuring MO zijn deze normen van kracht geworden. Taken DIV: - Post ingekomen; o Fysieke post o Digitale post / - Post uitgaand o Fysiek digitaal ondertekend o Fysiek handmatig ondertekend - Archiveren; o Digitaal archief o Fysiek archief - Informatie verstrekken; o Archief o Verseon DIV-info-telefoon (tel.nr 208) - Informatie beheren; o Verseon o Zaaktypecatalogus o I-navigator o Website content - DIV-consulent o Begeleiden en ondersteunen medewerkers o Beleid ontwikkelen - Nieuwe ontwikkelingen Spoed - Spoed en bijzondere vragen zullen direct worden uitgevoerd / opgepakt. 19

21 1. POST INGEKOMEN Fysieke post Ontvangen < 13:30 uur - Datum ontvangst wordt in Verseon vastgelegd - wordt geregistreerd op dag van ontvangst Ontvangen > 13:30 uur - Datum ontvangst wordt in Verseon vastgelegd - wordt geregistreerd op: o dag van ontvangst o eerstvolgende werkdag < 13:30 uur Digitale post / Ontvangen < 15:00 uur - wordt geregistreerd op dag van ontvangst ontvangstdatum = in datumveld in DMS Ontvangen > 15:00 uur - wordt geregistreerd op: o dag van ontvangst ontvangstdatum = in datumveld in DMS registratiedatum = in registratiedatumveld in DMS (registratiedatum kan dus een dag later zijn dan de ontvangstdatum) o eerstvolgende werkdag < 13:30 uur ontvangstdatum = in datumveld in DMS registratiedatum = in registratiedatumveld in DMS (registratiedatum kan dus een dag later zijn dan de ontvangstdatum) 20

22 2. POST UITGAAND Fysieke post digitaal ondertekend Aangeleverd < 14:00 uur - wordt verzonden op dag van aanleveren o In Verseon op tabblad documenten/notities: verzonden door postverzender = datum verzending o Poststuk wordt direct ter verzending aangeboden bij Bode > tafel: postverzending Aangeleverd > 14:00 uur - wordt verzonden op dag van aanleveren o In Verseon op tabblad documenten/notities: verzonden door postverzender = datum verzending o Poststuk wordt direct ter verzending aangeboden bij Bode > tafel: postverzending - wordt de eerstvolgende werkdag verzonden. o Zie aangeleverd < 14:00 uur Fysieke post handmatig ondertekend Aangeleverd < 14:00 uur - wordt verzonden op dag van aanleveren o Verzenddatum stempel op originele brief o Scannen en registreren in Verseon o In Verseon op tabblad documenten/notities: verzonden door postverzender = datum verzending o Poststuk wordt direct ter verzending aangeboden bij Bode tafel: postverzending Aangeleverd > 14:00 uur - wordt verzonden op dag van aanleveren o In Verseon op tabblad documenten/notities: verzonden door postverzender = datum verzending o Poststuk wordt direct ter verzending aangeboden bij Bode tafel: postverzending of - wordt de eerstvolgende werkdag verzonden. o Zie aangeleverd < 14:00 uur Fysieke post Verzenddatum en besluiten Poststukken waarbij verzenddatum dwingend is of vooraf bepaald, o.a. bij Besluiten VTH, overeenkomsten etc. zullen volgens afspraak worden verzonden. Spoedvragen zullen altijd met voorrang worden verwerkt. 21

23 3. ARCHIVEREN Fysiek archief Bevat te bewaren en te vernietigen zaken / te bewaren en te vernietigen documenten. (B = bewaren, V = vernietigbaar, V-nvb = vernietigen na vervallen belang) Te bewaren zaken en te vernietigen zaken (zaaksgewijs) - Te bewaren en te vernietigen zaken: o Gescand 1 maand verwerkingstijd voor het opnemen in het archief o Niet gescand Opnemen in werkvoorraad DIV > verwerken inplannen Te bewaren documenten en te vernietigen documenten (losse documenten) - Te bewaren documenten o Gescand en niet gescand opnemen in werkvoorraad - Te vernietigen documenten o Gescand Opnemen in V-serie voor vernietigbare stukken o Niet gescand Scannen Opnemen in V-serie voor vernietigbare stukken Digitaal archief (Verseon) Bevat te bewaren en te vernietigen zaken. (B = bewaren, V = vernietigbaar, V-nvb = vernietigen na vervallen belang) - Te bewaren en te vernietigen zaken 1 maand verwerkingstijd voor het opnemen in het digitale archief Achterstand archief 15 m archief is als achterstand geplaatst in het archief. Dit zal als project(en) worden ingepland en weggewerkt. Projecten achterstand archief worden benoemd in het jaarplan DIV. 22

24 4. INFORMATIE VERSTREKKEN; Archief - Informatieverzoeken ½ werkdag o vraag per < uur = s middags geleverd / beantwoord o vraag per > 12:00 uur = de volgende werkdag geleverd / beantwoord. Verseon - Informatieverzoeken binnen ½ werkdag verwerkt / beantwoord o vraag per < uur = s middags verwerkt / beantwoord o vraag per > 12:00 uur = de volgende werkdag verwerkt / beantwoord. - Registratieverzoeken binnen ½ werkdag geregistreerd DIV-info-telefoon Informatieverzoeken ½ werkdag o vraag per telefoon < uur = s middags geleverd / beantwoord Informatieverzoek wordt na telefoongesprek direct ingepland o vraag per telefoon > 12:00 uur = de volgende werkdag geleverd / beantwoord. Informatieverzoek wordt na telefoongesprek direct ingepland. 23

25 5. INFORMATIE BEHEREN; Verseon - Controleren o Zaakregistraties Dagelijks door postregistratoren Zaaktypecatalogus / I-navigator - Nieuwe versie wordt binnen een week geïmporteerd - Aanpassingen en wijzingen worden 1 x per maand bijgewerkt 24

26 6. DIV-CONSULENT Begeleiden en ondersteunen - Verzoek medewerker tijdens werkproces o Direct - Verzoek medewerker voor verbeterpunt / wens o wordt besproken bij key-user en DIV > ICT > Circle > DIV > key-user Nieuwe ontwikkelingen - Advies registratie-structuur Verseon o Wordt ingepland voor overleg key-user / DIV-consulent 25

27 Bijlage 3: 26

28 Bijlage 4: 27

29 Bijlages 5: Scaninstellingen HP Designjet T1120 SD-MFP. Original type: Quality: Scan aera: File Format: File name: Destination: Preview before scan: Batch mode: B / W Lines (bij donkere tekeningen color map) Low 200 dpi (bij donkere tekeningen Normal 300 dpi) Auto PDF Poster (naam van de tekening ingeven) Verseon On Off 28

30 Bijlage 6: Instellingen scannen Multifunctional (Konica Minolta: Bizhub C3642) A: Basis Kleur: 4 kleuren (Full color / 24 Bits) Scanformaat: Auto Resolutie: 400 DPI Bestandstype: Compact PDF Scannen: Tweezijdig B: Aantal Originelen Origineel instellingen: Geen originele instelling Origineel boek: Uit Instellingen afzonderlijk scannen Uit C: Kwaliteit / Densiteit Type origineel: Tekst / Foto afdrukken Densiteit: Standaard Achtergrond: Uitvloeien verwijderen D: Stempel / Compositie Datum / Tijd: Uit Pagina nummer: Uit Stempel: Uit E: App Kader wissen Uit Scherpte 0 Annotatie Gebruikersb. Uit Pagina afdrukken Uit 29

31 Bijlage 7: Informatie-beveiligingsbeleid De juiste balans tussen optimale dienstverlening en een veilige omgeving Auteur : Terence van Gestel Datum definitieve versie: Vastgesteld B&W op: Boxtel DD-MM-2015 Haaren DD-MM

32 Sint Michielsgestel DD-MM-2015 Bron: Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 31

33 Versiebeheer Versie Datum Omschrijving / wijziging Auteur versie datum omschrijving auteur september 2014 Start Terence van Gestel september 2014 Concept versie gereed Terence van Gestel september 2014 Input Adriaan Terence van Gestel november 2014 Input Werkeenheid I&A Terence van Gestel november 2014 Besproken Adriaan Terence Terence van Gestel november 2014 Input adviseurs JZ, P&O, Terence van Gestel Gebouwenbeheer (Haaren) november 2014 Opmerkingen I&A Boxtel verwerkt 1.0 Input adviseurs JZ, Gebouwenbeheer (SMG) Terence van Gestel Definitieve versie (ter vaststelling Terence van Gestel Akkoord Versie Naam Rol Datum Paraaf 0.6 Frans Smoorenburg Opdrachtgever vanuit MT 1.0 Fred v/d Pennen Akkoord en doorgang MT SMG 1.0 Frans Smoorenburg Akkoord en doorgang MT Haaren 1.0 Management team Haaren 1.0 Management team Sint-Michielsgestel 1.0 College van B&W Haaren 1.0 College van B&W Sint-Michielsgestel Akkoord IB en doorgang naar college Akkoord IB en doorgang naar college Vaststelling door college van burgemeester en wethouders Vaststelling door college van burgemeester en wethouders Geel = Speciale aandacht vanuit P&O Blauw = Speciale aandacht vanuit I&A Groen = allen Donderblauw = gebouwenbeheer Grijs = DIV 32

34 Inhoudsopgave 0 Managementsamenvatting Inleiding (Visie, Missie, Coalitieakkoorden) Uitgangspunten informatieveiligheid Organisatie van informatieveiligheid Interne organisatie Taken en rollen Functioneel overleg Rapportage en escalatielijn voor informatiebeveiliging Externe partijen ICT crisisbeheersing en landelijke samenwerking PDCA Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Classificatie van informatie Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beveiliging van apparatuur en informatie Beheer van de dienstverlening door een derde partij Behandeling van media Uitwisseling van informatie Logische toegangsbeveiliging Authenticatie en autorisatie Externe toegang Mobiel en thuiswerken Overige maatregelen Beveiliging van informatiesystemen (software) Beveiligingsincidenten Definitie beveiligingsincident Melding en registratie Alarmfasen Bedrijfscontinuïteit Naleving Organisatorische aspecten (Wettelijke) kaders Bijlagen Begrippenlijst Externe bijlagen/verwijzingen... Fout! Bladwijzer niet gedefinieerd. 33

35 0 Managementsamenvatting Begrip: Informatieveiligheid of informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip informatiebeveiliging heeft betrekking op: beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. Waarom? Informatie is één van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden. Reikwijdte en afbakening: Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele apparaten zoals een smartphone of tablet en aanwijzingen voor werken op afstand. Opbouw document Dit informatiebeveiligingsbeleid gebaseerd op de internationale standaarden voor informatie beveiliging: NEN/ISO en NEN/ISO Het voorbeeld (template) komt vanuit de Vereniging Nederlandse Gemeenten (VNG). Hierdoor is de opbouw volledig conform de Baseline Informatiebeveiliging Gemeenten (BIG) standaard. 34

36 0.1 Inleiding (Visie, Missie, Coalitieakkoorden) Gemeente Haaren en Gemeente Sint-Michielsgestel geven in het coalitieakkoord beide aan dat dienstverlening naar de klant een belangrijk aandachtspunt is voor de komende jaren. Deze dienstverlening blijft op peil en sluit aan bij wensen van de inwoners. Visie Boxtel verwerken! Het leven en werken is ook in onze kleinschalige samenleving goed. Mensen hebben oog voor elkaar. De gemeente schept ruimte voor initiatief, staat dicht bij de mensen en zorgt voor hen die het nodig hebben. De gemeenten stellen zich op als samenwerkingspartner naar elkaar en naar de inwoners. Veiligheid en zorg krijgen hierin speciale aandacht. Het bestuur en de ambtelijke organisaties ondergaan hiervoor een grote cultuuromslag. We gaan inwoners stimuleren, faciliteren en ondersteunen en niet meer denken voor, dirigeren en bepalen hoe. De basishouding is voortaan JA, tenzij Dit vraagt om een andere manier van denken en werken van bestuur en ambtenaren. Rekening houdend met deze uitgangspunten maar ook de toenemende digitalisering om ons heen vraagt om een goede balans tussen betrouwbaar en transparant. Een veilige omgeving die tegelijkertijd open en bruikbaar is. Gemeenten Haaren en Sint-Michielsgestel maar ook onze ketenpartners en behoren zorgvuldig om te gaan met de informatie en gegevens van burgers en organisaties. Uitval van informatiesystemen, het in ongerede raken van gegevensbestanden of het door onbevoegden kennisnemen dan wel manipuleren van gegevens kan ernstige gevolgen hebben voor de continuïteit van de bedrijfsvoering en de dienstverlening. Het is daarbij niet ondenkbaar dat hieraan ook politieke consequenties verbonden zijn of dat het imago van ons als overheidsorganisatie in het algemeen wordt geschaad. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel voor onze de dienstverlening. Om gemeenten te ondersteunen is op 1 januari 2013 een informatiebeveiligingsdienst voor gemeenten (IBD) opgericht. De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om zo gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD gaat nauw samenwerken met het Nationaal Cyber Security Centrum om gemeenten actief te ondersteunen in geval van incidenten op informatiebeveiligingsvlak. Het informatiebeveiligingsbeleid en de tactische uitwerking hiervan zijn volledig in lijn met producten en adviezen van de IBD. Gemeente Haaren en Sint-Michielsgestel voldoen hiermee aan de in verschillende audits gestelde normen en worden hierdoor geaccepteerd door (keten)partners. Het belangrijkste document bij de uitvoering van het beleidsplan is de tactische baseline. Dit is een verzameling van afspraken en maatregelen die vrij detaillistisch zijn beschreven. Het doel is om binnen drie jaar aan deze tactische baseline te voldoen, of daar het niet haalbaar blijkt dit te registreren en rapporteren. Het doel van een organisatiebrede aanpak op het gebied van informatieveiligheid is niet om de zaak op slot te gooien maar om de juiste balans te vinden tussen enerzijds het gebruikersgemak en functionaliteit en anderzijds beveiliging. Dat is onze missie! Samengevat van onbewust risico lopen naar bewust risico nemen. 35

37 1 Uitgangspunten informatieveiligheid Voornaamste uitgangspunten en randvoorwaarden voor het kunnen voldoen aan het beleidsplan zijn: De scope van dit beleid is alle (bedrijfsvoerings)processen van de organisatie. Uitwerking van het beleid is een operationele variant waarin alle processen uitgewerkt worden. Het informatiebeveiligingsbeleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO en 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Het beleid is in lijn met het algemene beleid van de gemeente Haaren en Sint-Michielsgestel en relevante landelijke en Europese wet- en regelgeving. (Daarbij hanteren we het comply or explain principe, dus pas toe of leg uit). Het beleid wordt vastgesteld door het college van B&W. Het management herijkt jaarlijks het IB-beleid. Aanpassingen met grote impact resulteert in een nieuwe versie die wel opnieuw door het college van B&W wordt vastgesteld. Informatiebeveiliging is en blijft een verantwoordelijkheid van het management. Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement. De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren. De focus verschuift van netwerkbeveiliging naar gegevensbeveiliging. Verantwoord en bewust gedrag van mensen is essentieel voor een goede informatiebeveiliging. Kennis en expertise zijn essentieel voor een toekomst vaste informatiebeveiliging en moeten geborgd worden. - Het benoemen van een informatiebeveiligingscoördinator (in verdere documentatie verder aangeduid als CISO). Doelgroepen: Het gemeentelijke IB-beleid is bedoeld voor alle in- en externe medewerkers van de gemeenten Haaren en Sint-Michielsgestel Doelgroep College van B&W Management(team) (Secretaris, directie, MT leden) Proces eigenaren / afdelingshoofden Proces coördinatoren / Teamleiders Medewerkers Gegevens eigenaren Beleidsmedewerkers Werkeenheid P&O Facilitaire zaken / gebouwenbeheer Werkeenheid I&A Applicatiebeheerders / Gegevensbeheerder Auditors Leveranciers en ketenpartners Relevant voor IB-Beleid Eindverantwoordelijk Kaders stellen en implementatie Kaders stellen en sturen op informatieveiligheid binnen de processen Sturing op informatieveiligheid en controle op naleving binnen de processen Gedrag en naleving Classificatie: bepalen van beschermingseisen van informatie Planvorming en beleidsvorming binnen IBbeleid Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Beleidsvorming voor en binnen IB-Beleid Technische ICT beveiliging Informatiearchitectuur Gegevens beveiliging en functioneel applicatiebeheer Onafhankelijke toetsing Compliance en betrokkenheid 36

38 Scope: De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen (informatiearchitectuur), informatie en gegevens (inclusief de basisregistraties) van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord. Dit is ongeacht locatie, tijdstip en middel (apparatuur). Dit gemeentelijke IB-beleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen (bijv. Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI) en de gemeentelijke basisregistraties. 2 Organisatie van informatieveiligheid 2.1 Interne organisatie Risico s: - Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. Doelstellingen: Beheren van de informatiebeveiliging (IB) binnen de organisatie. Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Goedkeuring door de directie/management van het informatiebeveiligingsbeleid, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie. Beheersmaatregelen: - In hoofdstuk 1 is aangegeven dat iedere in- en externe medewerker verantwoordelijk en deelgenoot is voor de organisatiebrede informatieveiligheid. In de hoofdstukken en de bijlage Informatiebeveiliging activiteiten en planning is deze verantwoordelijkheid verder uitgewerkt. - De informatiebeveiligingscoördinator (CISO) is verantwoordelijk voor de uitvoering van het beleid en geeft gevraagd en ongevraagd advies en feedback aan het management. 37

39 2.2 Taken en rollen Het College van B&W stelt formeel het IB-beleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel het College als de Raad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. De gemeentesecretaris (of in Sint-Michielsgestel de directeur bedrijfsvoering) adviseert B&W formeel over vast te stellen beleid. De secretaris of directeur bedrijfsvoering geeft namens het management op dagelijkse basis invulling aan de sturende rol door besluitvorming voor te bereiden en toe te zien op de uitvoering ervan. Informatiebeveiligingstaken die hieruit voortvloeien zijn belegd bij de Chief Information Security Officer (CISO). De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert eens per jaar organisatiebreed aan het management en college over de stand van zaken. Vanuit verschillende processen is daar waar nodig een beveiligingsbeheerder aangesteld. Voor de werkeenheid I&A zijn dit de rollen algemeen contactpersoon informatie beveiliging (ACIB) en vertrouwd contact informatiebeveiliging (VCIB). Deze beheerders rapporteren aan de CISO. Informatiebeveiliging is onderdeel van de service managementrapportage. Wie Plan: Kaderstelling Do: Uitvoering Check: Controle Act: Verbeteren Sturen: Directe dagelijkse uitvoering: CISO Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning Inbedding van landelijke en EU- Richtlijnen, advisering, handreikingen, crisisbeheersing en incident response Controle, interne audit, pentesten Bijsturen: Opdrachtverstrekking voor verbeteracties. Rapportage aan management en B&W Vragen: Alle afdelingen en binnen alle processen Formuleren van beveiligingseisen (classificatie) en opstellen cluster/team of procesbeleid. Specifieke beveiligingsplannen uit vakafdeling of proces Stimuleren van beveiligingsbewustzijn bij medewerkers, risico- en bedrijf of proces continuïteitmanagement Interne controle, sturen op naleving van regels door medewerkers (gedrag), zelfevaluaties en proces audits uitvoeren Verbeteren bedrijfs-of proces continuïteit. Rapportage aan CISO Uitvoeren: Serviceorganisatie (in uitvoerende rol) Beleidsvoorbereiding, technische onderzoeken (marktverkenning) Leveren van security management en services (ICT), incidentbeheer, logging, monitoring en advies Vulnerability, scanning, evaluatie en rapportage Uitvoeren Verbeteracties. Advies aan CISO over aanpassingen aan de informatievoorziening 38

40 2.3 Functioneel overleg Voor gemeente Haaren en Sint-Michielsgestel wordt één werkgroep informatiebeveiliging geformeerd. In deze werkgroep zitten de verschillende beveiligingsbeheerders, beveiligingsfunctionaris, I&A beleidsmedewerkers en systeembeheerder. Ook andere ondersteunende rollen zoals facilitair, P&O, gebouwenbeheer en interne controle zitten permanent of als agenda lid in de werkgroep. Tenminste eenmaal per kwartaal organiseert de CISO een overleg met deze werkgroep. De CISO is voorzitter van dit overleg. Het overleg heeft binnen de gemeenten een adviesfunctie richting het management en richt zich met name op beleid en adviseert over tactische en strategische informatieveiligheid kwesties. Informatieveiligheid wordt minimaal 2 maal per jaar binnen de verschillende proces en/of afdelings overleggen besproken. Processen die uitbesteed zijn zoals schoonmaak en catering worden meegenomen in deze overleg structuur. Hierdoor is er sturing op alle uitgevoerde activiteiten. 2.4 Rapportage en escalatielijn voor informatiebeveiliging Iedere medewerker is verantwoordelijk om (bijna) incidenten of vermoedens die te maken hebben met de integriteit of veiligheid op welke basis dan ook, te melden aan de procesverantwoordelijke of het afdelingshoofd. In overleg gaat afhankelijk van het (bijna) incident door naar de CISO (centrale coördinatie). Afhankelijk van de situatie kan de aanmelder eerst contact opnemen met een vertrouwenspersoon die zowel in Haaren als Sint-Michielsgestel benoemd zijn. Aanmelder (Decentrale) verantwoordelijke (eventueel vertrouwenspersoon) CISO management team of secretaris Externe partijen Het Informatiebeleid, de uitwerking in het informatie beveiligingsplan en alle wet en regelgeving en richtlijnen op het gebeid van informatieveiligheid gelden ook voor externe partijen (leveranciers en ketenpartners) waarmee de gemeente samenwerkt of informatie mee uitwisselt. Ook het principe pas toe of leg uit blijft hiervoor van toepassing. Voor externe hosting van gegevens en of diensten gelden naast het organisatiebrede IB-beleid de richtlijnen voor cloud-computing en het cloud beleid ICT crisisbeheersing en landelijke samenwerking Voor interne crisisbeheersing (dienstverlening uitwijk, technische uitwijk of andere calamiteiten op het gebied van informatiebeveiliging) is een kernteam benoemd. Dit kernteam bestaat uit CISO, Beleidsmedewerkers werkeenheid I&A, betrokken inhoudelijke teamleiders/coördinatoren en communicatiemedewerkers. De werkwijze van dit kernteam is vastgelegd. Het kernteam of de uitwijkvarianten kunnen ook ingezet worden bij calamiteiten die buiten de interne organisatie plaatsvinden maar waarbij de interne organisatie betrokken is (Rampenbestrijding of een oproep vanuit de veiligheidsregio). Gemeente Haaren en Sint-Michielsgestel participeren in relevante landelijke platforms en onderhouden contacten met andere georganiseerde IB-platforms (Informatie Beveiligings Dienst, VNG, King). 39

41 2.4.3 PDCA Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven. Toelichting figuur 2: - Plan: De cyclus start met IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is ook onderdeel van het ICT jaarplan en uitgewerkt in het informatiebeveiligingsplan (IB-beleid) van de gemeente. Afdelingsspecifieke activiteiten worden gepland in het afdelingsplan of een hoofdprocesplan. - Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. - Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor of middels zelfevaluaties die extern beoordeeld worden. Dit heeft het karakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd. Bevindingen worden gerapporteerd aan het management en daar waar nodig aan het bestuur (college). - Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en het beveiligingsplan. De bevindingen worden in beginsel gerapporteerd aan het management. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd. Figuur 2: Information Security Management System 40

42 3 Beheer van bedrijfsmiddelen 3.1 Verantwoordelijkheid voor bedrijfsmiddelen Risico s: Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar of gebruiker is. Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden (ook analoge gegevens, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten. Doelstellingen: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen en organisatie. Voor alle bedrijfsmiddelen en gegevens is de eigenaar vastgelegd als ook de verantwoordelijke voor het handhaven van de beheersmaatregelen. Beheersmaatregelen: Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen zijn geïdentificeerd en geïnventariseerd. Ook is er een (proces) eigenaar toegewezen. Regels vaststellen, documenteren implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen en (basis) registraties. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd. De eigenaar blijft verantwoordelijk voor bescherming van de bedrijfsmiddelen. Medewerkers dienen bij het gebruik van ICT-middelen, social media en gemeentelijke informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen. Medewerkers gebruiken gemeentelijke informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privé gebruik van gemeentelijke informatie en bestanden (documenten) is niet toegestaan. Voor het werken op afstand en het gebruik van privé middelen hiervoor worden nadere regels opgesteld voor de medewerker. De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. 3.2 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen ten aanzien van informatieprocessen en informatiesystemen worden beveiligingsclassificaties gebruikt. De gemeentelijke informatiesystemen worden geclassificeerd op de drie kwaliteitsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid (BIV). Onderstaande tabel geeft de classificatie niveaus weer. Na deze classificatie is onder meer duidelijk welke specifieke gemeentelijke informatie als vertrouwelijk wordt geclassificeerd. Na dit inzicht is duidelijk welke maatregelen per informatiesysteem nodig zijn. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar Niet zeker Niet nodig informatie mag door iedereen worden ingezien informatie mag worden veranderd gegevens kunnen zonder gevolgen langere tijd niet 41

43 Laag (bv: algemene informatie op de openbare website van de gemeente) Bedrijfsvertrouwelijk (bv: templates en sjablonen) Beschermd beschikbaar zijn (bv: ondersteunende tools als routeplanner) Noodzakelijk informatie is toegankelijk voor alle medewerkers van de organisatie het bedrijfsproces staat enkele (integriteits-) fouten toe informatie mag incidenteel niet beschikbaar zijn Midden (bv: informatie op intranet) Vertrouwelijk (bv: rapportages) Hoog (bv: administratieve gegevens) Belangrijk Hoog informatie is alleen toegankelijk voor een beperkte groep medewerkers (bv: persoonsgegevens, financiële gegevens) Geheim het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces / informatie) Essentieel Uitgangspunten: informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) - De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, en ICT systemen. Losse documenten op de informatievoorziening (netwerkschijven) zijn uitgesloten omdat hiervan geen overzicht te maken is. - Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de CISO en dienen jaarlijks gecontroleerd te worden door de eigenaren. - Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. - De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. De eigenaar van de gegevens is verantwoordelijk wie toegang heeft tot welke gegevens. - Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn (transparante overheid). - Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen én daarnaast verdient een technische oplossing altijd de voorkeur boven gedragsverandering. 42

44 4 Beveiliging van personeel Risico s: - Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: Het lijnmanagement is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De werkeenheid Ple1n P&O houdt toezicht op dit proces; Het lijnmanagement bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt; Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en gemeentelijke regelingen; Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren. 4.1 Algemene voorwaarden Er zijn een integriteitsprotocol en gedragsprotocol aanwezig. Deze gelden voor alle vaste en alle externe medewerkers. Daarnaast wijst het afdelingshoofd de tijdelijke werknemer bovendien op de aanwezigheid van eventueel aanvullende, specifieke gedragsregels ten aanzien van een informatiesysteem of afdeling. Dit gebeurt in ieder geval bij de Basisregistratie Personen (BRP), de Basisregistratie Adressen en Gebouwen (BAG), het sociale domein (SUWI), I&A en bij WOZ belastingen. 4.2 Voorwaarden vast personeel Iedere werknemer in dienst van de gemeenten Haaren en Sint-Michielsgestel legt de eed/belofte af en wordt geacht te handelen conform de voorschriften zoals vermeld in het integriteitsprotocol dat ter ondertekening wordt voorgelegd. Daarnaast overlegt iedere nieuwe werknemer een Verklaring 4.3 Voorwaarden externen 43

45 Externe medewerkers die toegang hebben tot gemeentelijke informatie tekenen een geheimhoudingsverklaring. Alle externe medewerkers die toegang hebben tot vertrouwelijke gemeentelijke informatie overleggen een VOG. 4.4 Selectieprocedure De gemeenten kiezen voor een zorgvuldige selectieprocedure om te waarborgen dat alle medewerkers onafhankelijk van functie professioneel en betrouwbaar zijn. Van iedere medewerker verwachten we dat hij/zij integer handelt. 4.5 Toegang en bevoegdheden Bij indiensttreding worden de fysieke en logische toegangsbevoegdheden volgens een vastgestelde procedure toegekend. De beslissing hierover moet door geautoriseerde personen worden genomen. Bij dienstbeëindiging of bij wijziging van functie worden alle bedrijfsmiddelen geretourneerd en autorisaties beëindigd of aangepast. Het management (afdelingshoofd) is hiervoor verantwoordelijk. 4.6 Opleiding en communicatie Alle medewerkers (en voor zover van toepassing externen krijgen training in procedures die binnen de gemeente of afdeling gelden op het gebied van algemene informatie beveiliging en specifiek binnen de processen van deze medewerkers. Deze instructie dient regelmatig herhaald te worden om het bewustzijn op peil te houden. Hiervoor geldt dat: Alle medewerkers binnen de organisatie worden ingelicht over het beveiligingsbeleid en de (beveiligings)procedures van de gemeente en informatie krijgen over het correcte gebruik van de ICT- en toegangsvoorzieningen. Dit geldt eventueel ook voor externe gebruikers; Het MT en de leidinggevenden de algehele communicatie en bewustwording rondom informatieveiligheid bevorderen; In werk en of proces overleggen periodiek aandacht wordt geschonken aan informatieveiligheid. Voor zover relevant worden hierover afspraken vastgelegd in functioneringsgesprekken en beoordelingsgesprekken. 4.6 Bijzondere situaties In het geval van ernstige verdenkingen tegen een medewerker of derde(n) op het gebied van verduistering of gedrag wat in strijd is met de interne regels, is het mogelijk dat de gemeenten Haaren of Sint-Michielsgestel gebruik maakt van opsporingsmogelijkheden zoals (verborgen) camera's, microfoons en loggegevens. Ook de door de gemeente verstrekte telefoon en ICT-middelen kunnen in deze gevallen worden onderzocht. Voor de inzet van deze middelen is schriftelijke toestemming nodig van de gemeentesecretaris. Specifiek voor het testen van apparatuur en van software en bij incidenten met klanten kan zonder toestemming van de gemeentesecretaris toegang worden verkregen tot bestanden en apparatuur. Wanneer tijdens deze handeling iets wordt geconstateerd ten aanzien van een eigen medewerker, kan hier uitsluitend via de formele weg (via de gemeentesecretaris) melding van worden gemaakt. 44

46 5 Fysieke beveiliging en beveiliging van de omgeving Risico s: - Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen. - Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet-medewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot het gemeentehuis en of de beveiligde zones te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan. - Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. - Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. - Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwijderen van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. Doelstelling: De fysieke bescherming van gebouwen, terreinen, informatie en (informatie)systemen tegen onbevoegde fysieke toegang, schade of verstoring van continuïteit. Maatregelen en procedures waarmee gebouwen, informatie- en ICT-voorzieningen adequaat worden beschermd tegen ongeautoriseerde toegang, kennisneming, verminking of diefstal, waardoor schade en verstoringen worden voorkomen. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: Alle objecten (gebouwen) van de gemeente krijgen op basis van generieke profielen een risicoprofiel toegewezen. Dit is het generieke risicoprofiel dat het beste aansluit bij het object. De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen. Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autorisatie. De uitgifte van toegangsmiddelen wordt geregistreerd. Door I&A voor de ICT voorziening (Token) of gebouwenbeheer voor logische toegang (Badge) Alle medewerkers zijn mede verantwoordelijk om toezicht te houden op de beveiligde zones en spreken onbekende personen in deze zone aan. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangsbadge) is afgestemd op de zonering (en het risicoprofiel). In een aantal panden van de gemeente wordt gebruik gemaakt van cameratoezicht. Het gebruik van beeldmateriaal is beperkt door de Wet Bescherming Persoonsgegevens. De fysieke toegang tot ruimten waar zich vertrouwelijke informatie en centrale ICTvoorzieningen bevinden is voorbehouden aan bevoegd personeel. (Data)verbindingen worden beschermd tegen interceptie of beschadiging. Reserve apparatuur en back-ups zijn gescheiden in twee locaties, om de gevolgen van een calamiteit te minimaliseren. Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de apparatuur wordt afgevoerd. 45

47 Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. 6 Beveiliging van apparatuur en informatie Risico s: - Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. - Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. - Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. - De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. - Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. - Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisico s. Doelstelling: Het garanderen van een correcte en veilige bediening van ICT-voorzieningen. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICTvoorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik of fouten te verminderen. Beheersmaatregelen: Organisatorische aspecten In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, dient een audit trail te worden vastgelegd van alle handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. De audit trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd. Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als technisch of functioneel beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. Bij externe hosting van data en/of services (uitbesteding, cloud computing) blijft de gemeente eindverantwoordelijk voor de betrouwbaarheid van uitbestede diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en controle hierop. Externe hosting van data en/of services is: o goedgekeurd door verantwoordelijk lijnmanager; o in overeenstemming met IB-beleid en algemeen gemeentelijk beleid; o vooraf gemeld bij I&A voor toetsing op beheeraspecten. 46

48 Systeemplanning en acceptatie Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen en pas geïmplementeerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden gedocumenteerd. Systemen voor Ontwikkeling en de faciliteiten voor Test en/of Acceptatie (OTA) zijn gescheiden van Productie (P). Dit is om onbevoegde toegang tot of wijziging in het productiesysteem te voorkomen. In de OTA worden testaccounts gebruikt. Er wordt in beginsel niet getest met productie accounts, mits voor de test absoluut noodzakelijk. Vertrouwelijke of geheime data uit de productieomgeving mag niet worden gebruikt in de ontwikkel-, test-, opleidings-, en acceptatieomgeving tenzij de gegevens zijn geanonimiseerd. Indien het toch noodzakelijk is om data uit productie te gebruiken, is toestemming van de eigenaar van de gegevens vereist en dienen er procedures te worden gevolgd om data te vernietigen na ontwikkelen en testen. Het gebruik van ICT-middelen wordt gemonitord ten behoeve van een tijdige aanpassing van de beschikbare capaciteit aan de vraag. Technische aspecten Alle gegevens anders dan classificatie geen worden versleuteld conform beveiligingseisen in de gemeentelijke IB-architectuur. o Classificatieniveau laag : transportbeveiliging buiten het interne netwerk; o Classificatieniveau midden : transportbeveiliging; o Classificatieniveau hoog : transport en berichtbeveiliging. Versleuteling vindt plaats conform best practices (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens gevoeliger zijn. Gegevens op papier worden beschermd door een deugdelijke opslag en regeling voor de toegang tot archiefruimten. Bij het openen of wegschrijven van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. Ook inkomende en uitgaande s worden hierop gecontroleerd. De update voor de detectiedefinities vindt in beginsel dagelijks plaats. Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten, servers, pc s) wordt antivirus software van verschillende leveranciers toegepast. Alle apparatuur die is verbonden met het netwerk van de gemeente moet kunnen worden geïdentificeerd. Mobile code (software die wordt uitgevoerd zonder expliciete toestemming van de gebruiker, zoals scripts (Java) Active X componenten enz) wordt uitgevoerd in een logisch geïsoleerde omgeving om de kans op aantasting van de integriteit van het systeem te verkleinen. De mobile code wordt altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet aangetast wordt Documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden beschermd tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Het (ongecontroleerd) kopiëren van geheime gegevens is niet toegestaan, behalve voor backup door bevoegd systeembeheer. Alle informatie, die wordt geplaatst op websites van de gemeente, wordt beschermd tegen onbevoegde wijziging. Op algemeen toegankelijke websites wordt alleen openbare informatie gepubliceerd. Groepen informatiediensten, gebruikers en informatiesystemen worden op het netwerk gescheiden zodat de kans op onbevoegde toegang tot gegevens verder wordt verkleind. Afhankelijk van de risico s die verbonden zijn aan online transacties worden maatregelen getroffen om onvolledige overdracht, onjuiste routing, onbevoegde wijziging, openbaarmaking, duplicatie of weergave te voorkomen. Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau (service levels) komt. Mobiele (privé-)apparatuur en thuiswerkplek 47

49 Ten aanzien van 'Bring Your Own Device of Choose Your Own Device'' (BYOD/CYOD) wordt beleid opgesteld en worden beveiligingsmaatregelen vastgesteld en getroffen die in overeenstemming zijn met het gemeentelijk informatiebeveiligingsbeleid en voor zover niet wordt verboden door wet en regelgeving. Back-up en recovery In opdracht van de eigenaar van data, maakt ICT reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering, zoals gedefinieerd door de eigenaar van de gegevens. Bij ketensystemen dient het back-up mechanisme de data-integriteit van de informatieketen te waarborgen. De back-up en herstelprocedures worden regelmatig (tenminste 1 x per jaar) getest om de betrouwbaarheid ervan vast te stellen. Informatie-uitwisseling Voor het gebruik van gemeentelijke informatie gelden de rechten en plichten zoals vastgelegd in de diverse documenten, zoals het CAR-UWO, geheimhoudingsverklaring, huisregels. Digitale documenten van de gemeente waar burgers en bedrijven rechten aan kunnen ontlenen, hebben waarborgen dat de ondertekenaar authentiek is en waar via audit trail te herleiden is wie en wanneer digitaal ondertekend heeft. Informatie uitwisseling met externe systemen (basisregistraties of met ketenpartners maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie. Er is een (spam) filter geactiveerd voor inkomende berichten. 48

50 Controle Het gebruik van informatiesystemen, alsmede uitzonderingen en informatiebeveiligingsincidenten, worden vastgelegd in logbestanden op een manier die in overeenstemming is met het risico, en zodanig dat tenminste wordt voldaan aan alle relevante wettelijke eisen. 6.1 Beheer van de dienstverlening door een derde partij Risico s: - De gemeente gaat steeds meer samenwerken en informatie uitwisselen in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Doelstelling: Een passend niveau van informatiebeveiliging implementeren, bijhouden en dit vastleggen in een (bewerkers)overeenkomst, contracten en/of convenanten. De organisatie controleert de implementatie van de maatregelen, die zijn vastgelegd overeenkomsten, bewaakt de naleving van de overeenkomsten en beheert wijzigingen om te waarborgen dat de beveiliging aan alle eisen voldoet, die met de derde partij zijn overeengekomen. Beheersmaatregelen De beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de (bewerkers)overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd. De diensten, rapporten en registraties, die door de derde partij worden geleverd, worden gecontroleerd en beoordeeld en er worden periodiek audits uitgevoerd. Wijzigingen in de dienstverlening door derden, in bijvoorbeeld bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, worden beheerd. 6.2 Behandeling van media Risico s: - Verwijderbare media kan informatie bevatten, die in onbevoegde handen kan vallen bij onjuist gebruik, verlies of diefstal. Doelstelling: Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van informatie en bedrijfsmiddelen. Media worden beheerst en fysiek beschermd. Vastgestelde procedures om documenten, opslagmedia (bijvoorbeeld USB-sticks, back-up media), in- en uitvoergegevens en systeemdocumentatie te beschermen tegen onbevoegde 49

51 openbaarmaking, wijziging, verwijdering en vernietiging. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: Er dienen procedures te worden vastgesteld voor het beheer van verwijderbare media. Er dienen procedures te worden vastgesteld voor het op een veilige manier verwijderen van media als ze niet langer nodig zijn. Systeemdocumentatie dient te worden beschermd tegen onbevoegde toegang. Uitgangspunten: Er zijn procedures voor het beheer van verwijderbare media en voor het veilig verwijderen of hergebruiken van ICT-apparatuur. Harde schijven en andere datadragers worden adequaat gewist of vernietigd bij afstoting of hergebruik. In ieder geval indien er vertrouwelijke informatie is opgeslagen en/of licentie plichtige programmatuur op is geïnstalleerd. Er zijn richtlijnen voor het opbergen van papieren en computermedia. In ieder geval voor gevoelige of kritieke bedrijfsinformatie. Innamebeleid voor mobiele apparatuur, zoals laptops, Smartphones, Tablets (ipads), voor wanneer deze niet meer worden gebruikt. Encryptie op informatie met het classificatielabel vertrouwelijk en zeer geheim. 50

52 6.3 Uitwisseling van informatie Risico s: - Verlies of diefstal van laptops, USB-sticks, Smartphones, Tablets (ipads) e.d., waarbij bovendien informatie in verkeerde handen komt. Doelstelling: Handhaven van beveiliging van informatie en programmatuur, die wordt uitgewisseld binnen een organisatie en met enige externe entiteit. Een formeel uitwisselingsbeleid m.b.t. de uitwisseling van informatie en programmatuur tussen organisaties, dat in lijn is met de uitwisselingsovereenkomsten en relevante wetgeving. Vastgestelde procedures en normen ter bescherming van informatie en fysieke media, die informatie bevatten die wordt getransporteerd. Beheersmaatregelen: Vaststellen formeel beleid, formele procedures en formele beheersmaatregelen om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Vaststellen overeenkomsten voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Beschermingsmaatregelen voor media die informatie bevatten tegen onbevoegde toegang, misbruik of het corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. Bescherming van informatie, die een rol speelt bij elektronische berichtuitwisseling. Uitgangspunten Geformaliseerde situatie rondom het transport van de back-ups en de mogelijkheden van leveranciers om toegang tot het netwerk te verkrijgen. Een basisraamwerk met randvoorwaarden voor gegevensuitwisseling met ketenpartners. Gevoelige informatie (classificatie vertrouwelijk en zeer geheim) wordt nooit bekend gemaakt via telefoon of fax, in verband met bijvoorbeeld afluisteren. Bewustzijn en sociale controle om het risico op het lekken van informatie via telefoon e.d. te laten afnemen. 51

53 7 Logische toegangsbeveiliging Risico s: Wanneer toegangsbeheersing niet expliciet gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van beveiliging wordt gehanteerd. Onbevoegden die toegang hebben tot beveiligde zones waarin vertrouwelijke informatie aanwezig is. Verstoringen door onjuist gebruik van ICT-ruimtes of ICT-componenten (met name waar ook niet ICT-medewerkers toegang hebben). Doelstelling: Het beheersen van de toegang tot informatie, ICT voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen. Beleid, maatregelen en procedures voor effectieve toegangsbeveiliging tot de informatieinfrastructuur en gegevens en het voorkomen van ongeautoriseerde toegang. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: De eigenaar van de data is bevoegd toegang te verlenen. Er worden in de regel geen algemene identiteiten gebruikt. Voor herleidbaarheid en transparantie is het namelijk nodig om te weten wie een bepaalde actie heeft uitgevoerd. Indien dit geen (wettelijke) eis is kan worden gewerkt met functionele accounts. De gemeente maakt,waar mogelijk, gebruik van bestaande (landelijke) voorzieningen voor authenticatie, autorisatie en informatiebeveiliging (zoals: DigiD en eherkenning). 7.1 Authenticatie en autorisatie Voor wachtwoorden, en authenticatie op afstand (thuiswerken) is een specifieke procedure uitgewerkt. Autorisaties zijn in een procedure vastgelegd waarin de gehele cyclus is opgenomen van het opvoeren, registreren tot het afmelden van gebruikers. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: Wachtwoorden worden voor een beperkte periode toegekend (zie wachtwoordbeleid). Wachtwoorden dienen aan eisen te voldoen, deze worden afgedwongen door het systeem. De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en wijziging door onbevoegden tijdens transport en opslag (door middel van encryptie). Autorisatie is rol gebaseerd. Autorisaties worden toegekend via functie(s) en organisatie onderdelen. 52

54 7.2 Externe toegang De gemeente kan een externe partij toegang verlenen tot het gemeentelijke netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. Externe partijen kunnen niet op eigen initiatief verbinding maken met het besloten netwerk van de gemeente, tenzij uitdrukkelijk overeengekomen. De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De gemeente heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne logging. 7.3 Mobiel en thuiswerken Voor het op afstand werken (buiten het gemeentehuis) is een thuiswerkomgeving beschikbaar. Toegang tot deze omgeving wordt verleend op basis van mutifactor authenticatie (Token en Pincode/Wachtwoord). De gedachte hierbij is Je hebt iets (token) en je weet iets (pincode/wachtwoord); Voor het op afstand werken in de webmail omgeving van de gemeenten wordt toegang verleend op basis van gebruikers authenticatie (gebruikersnaam en wachtwoord). De webmail omgeving is wel een beveiligde en versleutelde omgeving. Onbeheerde apparatuur (privé-apparaten of de open laptop ) kan gebruik maken van draadloze toegangspunten (WiFi). Deze zijn logisch gescheiden van het gemeentelijke bedrijfsnetwerk; Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen gemeentelijke informatie wordt opgeslagen op het mobiele apparaat ( zero footprint ). Gemeentelijke informatie dient te worden versleuteld bij transport en opslag conform classificatie eisen; Voorzieningen als sociale netwerk en clouddiensten (Dropbox, Gmail, etc.) zijn door het lage beschermingsniveau (veelal alleen naam, wachtwoord en het ontbreken van versleuteling) en internationale regelgeving (veelal beschikbaar voor buitenlandse onderzoekdiensten), niet geschikt voor het delen van vertrouwelijke informatie. 7.4 Overige maatregelen Het fysieke (bekabelde) netwerk is niet toegankelijk voor onbeheerde apparatuur. Het netwerk van de gemeente is waar mogelijk gesegmenteerd, tussen segmenten met verschillende beschermingsniveaus. 53

55 7.5 Beveiliging van informatiesystemen (software) Doelstelling: Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen Organisatorische aspecten Toetsing op IB-beleid is onderdeel van de toets voor projecten met een ICT-component en onderdeel van de project start en eind architectuur (projectmatig werken). Projecten met een hoog risicoprofiel vallen onder toezicht van ICT. Toetsing op architectuur en informatiebeveiliging is hier onderdeel van. Projectmandaten worden ten behoeve van behandeling in gemeentelijk overleg (onder meer) voorzien van een advies op informatiebeveiliging. In het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen worden ook relevante beveiligingseisen opgenomen Encryptie (versleuteling) De gemeente gebruikt waar verplicht (basisregistraties) encryptie conform PKI-overheid standaard.(public Key Infrastructure voor de overheid waarborgt op basis van Nederlandse wetgeving de betrouwbaarheid van informatie-uitwisseling via , websites of andere gegevensuitwisseling.) Beveiligingscertificaten worden centraal beheerd binnen de werkeenheid Ple1n I&A. 54

56 8 Beveiligingsincidenten Risico s: Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren. Doelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden zodanig kenbaar worden gemaakt dat tijdig maatregelen kunnen worden genomen. Procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. 8.1 Definitie beveiligingsincident Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, de integriteit of de vertrouwelijkheid van informatie of informatiesystemen in gevaar is of kan komen. Hierbij staat beschikbaarheid voor de garanties over het afgesproken niveau van dienstverlening en over de toegankelijkheid en bruikbaarheid van informatie(systemen) op de afgesproken momenten. Integriteit staat voor de juistheid, volledigheid en tijdigheid van informatie(systemen). Vertrouwelijkheid heeft betrekking op exclusiviteit van informatie en de privacybescherming. Hiermee wordt bedoeld dat uitsluitend gemachtigden toegang mogen hebben tot informatie(systemen). Voorbeelden van beveiligingsincidenten zijn: besmettingen met virussen en/of malware, pogingen om ongeautoriseerd toegang te krijgen tot informatie of systemen (hacken), niet beschikbaar zijn van de website met dienstverleningsportaal, verlies van usb-stick met gevoelige informatie, diefstal van data of hardware of een gecompromitteerde mailbox, vernietiging van papieren archief door brand of wateroverlast, het kwijt raken van papieren documenten enz. 8.2 Melding en registratie Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident. Hiervoor gelden de volgende uitgangspunten: De coördinator informatiebeveiliging (CISO) is de beheerder van de registratie van beveiligingsincidenten; Een medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct te melden bij de servicedesk I&A; ICT beveiligingsincidenten worden bij de servicedesk I&A als zodanig geregistreerd en vervolgens doorgegeven aan de coördinator informatiebeveiliging (CISO); Vermissing of diefstal van apparatuur of media die gegevens van de gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident; Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens en foutieve inlogpogingen worden regelmatig nagekeken. De coördinator informatiebeveiliging bekijkt periodiek een samenvatting van de informatie; 55

57 Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt; Afhankelijk van de ernst van een incident is er een meldplicht bij het College Bescherming Persoonsgegevens; Bij twijfel over de impact of gevolg van een incident wordt in overleg met de CISO contact opgenomen met de Informatiebeveiligingsdienst; De informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren (PDCA Cyclus). 8.3 Alarmfasen Bij grote incidenten wordt gehandeld en opgeschaald conform procedures continuiteitsbeheer en dienstverleningsuitwijk procedure. Alarmfase Kenmerk Impact Opschaling Bijzonderheden 1 Lokaal ICT incident bij één afdeling of binnen één proces Oplosbaar probleem (bronbestrijding) In eerste instantie niet opschalen. Probleem wordt opgelost door de Rapportage opstellen Melding aan CISO 2 ICT incident bij meerdere afdelingen en of binnen meerdere processen 3 Organisatie breed ICT incident. Mogelijk andere gemeenten betrokken Nog steeds een geïsoleerd probleem (bron + effectbestrijding) Impact op de gemeentelijke dienstverlening wordt echt ervaren. Mogelijk impact voor externe dienstverlening werkeenheid I&A In eerste instantie niet opschalen. Probleem wordt opgelost door de werkeenheid I&A Kernteam komt bij elkaar of stemt af. Afhankelijk van impact treedt de procedure continuiteitsbeheer en/of dienstverleningsuitwijk procedure in werkeing Rapportage opstellen Melding aan CISO Melding aan IBD (indien nodig) Communicatie richting getroffen gebruikers/afdelingen Informeren CISO Informeren Secretaris en management team. Informeren College van B&W Melding aan IBD (indien nodig) Communicatie richting volledige organisatie en eventueel externe klanten is vereist. 4 ICT incident is organisatie overstijgend (landelijk/regio) Impact op de gemeentelijke dienstverlening is manifest Mogelijk treedt de GRIP structuur in werking. Kernteam is dan adviserend en voert desgewenst coördinatie in ICT domein uit. Er is sprake van landelijke opschaling via de IBD en NCSC. 56

58 9 Bedrijfscontinuïteit Risico s: - Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een vals gevoel van veiligheid, ook grote kans op ad hoc maatregelen als een calamiteit zich voordoet. - Het uitvallen van medewerkers (ziekte, sterven, ontslag) kan een reële bedreiging zijn. Doelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. Een adequaat beheerproces van bedrijfscontinuïteit om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie en het herstellen daarvan tot een aanvaardbaar niveau te beperken. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteitsproces en andere beheerprocessen binnen de organisatie. Beheersmaatregelen: Hieronder volgen de geldende algemene uitgangspunten: Elk gemeentelijke afdeling voert een business impactanalyse uit. Afhankelijk van de bevindingen worden per afdeling vervolgacties gepland. Elke afdeling heeft een eigen plan voor Business Continuity Management (BCM) (bedrijfscontinuïteitsbeheer). In de continuïteitsplannen wordt minimaal aandacht besteed aan: o Risico s; o Identificatie van essentiële procedures voor bedrijfscontinuïteit; o Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd wordt teruggegaan; o Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie); o Prioriteiten en volgorde van herstel en reconstructie; o Documentatie van systemen en processen; o Kennis en kundigheid van personeel om de processen weer op te starten. Er worden minimaal jaarlijks oefeningen of testen gehouden om de BCM plannen te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. Beleidsuitgangspunt Er zijn voor de belangrijkste processen en systemen continuïteits-/uitwijkplannen welke door middel van een beheerst proces tot stand komen. Continuïteitsplannen moeten regelmatig worden getest en actueel worden gehouden. 57

59 10 Naleving Doelstelling: Het voorkomen van schending van strafrechtelijke of civielrechtelijke wetgeving, wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen en waarborgen dat systemen en processen voldoen aan het beveiligingsbeleid van de gemeente Maatregelen en procedures waarmee naleving van wetten, verplichtingen en beveiligingseisen uit het beleid van de gemeente bewaakt wordt Organisatorische aspecten Het verbeteren van de kwaliteit van informatieveiligheid is een continu proces en onderdeel van alle gemeentelijke processen waarin wordt gewerkt met gevoelige informatie. Informatieveiligheid is een kwaliteitskenmerk van het primaire proces, waarop het management van elke afdeling stuurt. De kwaliteit wordt gemeten aan: De mate waarin een volledige set aan maatregelen is geïmplementeerd, gebaseerd op vastgesteld beleid; Efficiency en effectiviteit van de geïmplementeerde maatregelen; De mate waarin de informatiebeveiliging het bereiken van de strategische doelstellingen ondersteunt. De CISO zorgt namens de gemeentesecretaris voor het toezicht op de uitvoering van het IB-beleid. ICT en externe hosting providers leggen verantwoording af aan hun opdrachtgevers over de naleving van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd (TPM of ISAE3402-verklaring). Naleving van regels vergt in toenemende mate ook externe verantwoording, bijvoorbeeld voor het gebruik van DigiD, SUWI, BAG en BRP. Aanvullend op dit concern IB-beleid kunnen daarom specifieke normen gelden voor specifieke processen. Periodiek wordt de kwaliteit van informatieveiligheid onderzocht door interne (gemeentelijke) auditors (beveiligingsbeheerders) en door onafhankelijke externen (bijvoorbeeld door middel van penetratietesten ). Jaarlijks worden ca. 3 audits/onderzoeken gepland. De bevindingen worden gebruikt voor de verdere verbetering van de informatieveiligheid. In de P&C cyclus wordt gerapporteerd over informatieveiligheid aan de hand van het in control statement. Er wordt een beveiligingsdocumentatiedossier aangelegd en onderhouden. Dit dossier bevat alle relevante verplichte en niet verplichte documenten waaruit blijkt of kan worden aangetoond dat aan de specifieke beveiligingseisen is voldaan (Wettelijke) kaders 58

60 Een overzicht van relevante wet en regelgeving is te vinden op de website van KING. Zo is het gebruik van persoonsgegevens geregeld in de Wet Bescherming Persoonsgegevens. Aan de bescherming van persoonsgegevens stelt de Wet Bescherming Persoonsgegevens (WBP) duidelijke eisen. De gemeenten Haaren en Sint-Michielsgestel stellen ieder een privacy beheerder aan, die de uitvoering en de naleving van de WBP bewaakt. Voor elk type registratie wordt de bewaartermijn, het opslagmedium en eventuele vernietiging bepaald in overeenstemming met wet, regelgeving, contractuele verplichtingen en bedrijfsmatige eisen. Bij de keuze van het opslagmedium wordt rekening gehouden met de bewaartermijn, de achteruitgang van de kwaliteit van het medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmiddelen (zoals hard- en software) om de gegevens te raadplegen en te bewerken. Bij het (laten) vervaardigen en installeren van programmatuur, wordt er voor gezorgd dat de intellectuele eigendomsrechten die daar op rusten niet worden geschonden. 59

61 11 Bijlagen 11.1 Begrippenlijst Acceptatieprocedure Audit Back-up BAG Big data BRP BYOD CISO Clean Desk Cloud computing IBB IBP ICT Informatie architectuur NEN-ISO NORA NUP Open Source pki Procedure om vast te stellen of een nieuw (informatie)systeem voldoet aan de gestelde eisen Applicatiebeheer Onderhoud en exploitatie van de geautomatiseerde gedeeltes (software) van een informatiesysteem. Het (door een onafhankelijke deskundige) kritisch beoordelen van de opzet, het bestaan en de werking van de (beveiligings-) voorzieningen en de organisatie binnen een proces op betrouwbaarheid, doeltreffendheid en doelmatigheid. Reservekopie van gegevens of ICT voorziening Basisregistratie Adressen en Gebouwen Data die op grote schaal beschikbaar zijn en opgeslagen en geanalyseerd kunnen worden. Basis Registratie Personen (database waarin alle persoonsgegevens staan) Bring your own device (Het door gebruikers aanlaten bieden/kiezen van een eigen ICT middel (Smartphone, tablet, laptop). Chief Information Security Officer, dit is de coördinator informatiebeveiling die verantwoordelijk is voor de organisatiebrede informatieveiligheid. Een opgeruimde werkplek waar geen vertrouwelijke of privacygevoelige documenten of andere informatiebronnen rondslingeren. Een dienst die via internettechniek buiten de eigen organisatie (infrastructuur) wordt aangeboden. Informatie Beveiligings Beleid Informatie Beveiligings Plan Informatie- en Communicatie Technologie Beschrijving van de belangrijkste componenten en standaarden van een informatiehuishouding in hun onderlinge samenhang en in relatie tot de bedrijfsorganisatie die gebruik maakt van deze informatiehuishouding. (Internationale) Norm en format voor Informatiebeveiliging, uitgegeven door het Nederlands Normalisatie Instituut (NEN) en de Internationale Standaardisatie Organisatie (ISO); voorheen bekend als Code voor Informatiebeveiliging. Nederlandse Overheids Referentie Architectuur, opgesteld en uitgegeven door ICTU (interdepartementale uitvoeringsorganisatie op het gebied van ICT) in samenwerking met de Manifestgroep (waarin verenigd de belangrijkste uitvoeringsorganisaties zoals Belastingdienst, Kadaster, UWV, e.d.) Nationaal UitvoeringsProgramma - meerjarig Programma opgesteld door met name Ministerie van Binnenlandse Zaken en VNG met doel het realiseren van de elektronische Overheid. Open Source is een principe voor het collectief bouwen en beheren van software zonder dat één persoon of bedrijf aanspraak kan maken op intellectuele of commerciële rechten van de software. Een Public Key Infrastructure (PKI) is een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd. Een onafhankelijke partij waarborgt de integriteit en authenticiteit van het certificaat. Hiermee wordt gegarandeerd dat de identiteit van de certificaatbezitter klopt ( je bent wie je zegt dat je bent ) en dat gegevens veilig kunnen worden uitgewisseld. 60

62 Service SUWI Zelfevaluatie (web)service is een bouwsteen die een digitale dienst levert conform standaarden op het gebied van taal, kwaliteit, berichtenverkeer en organisatie. Een bekend voorbeeld is DIGID. Informatievoorziening voor structuur uitvoeringsorganisatie werk en inkomen Soort Audit die door de gemeente zelf uitgevoerd wordt aan de hand van vragenlijsten. Op basis van steekproeven kan een externe controle plaatsvinden. 61

63 Bijlage 8: 62

Handboek digitale vervanging van analoge personeelsdocumenten gemeente Vlaardingen

Handboek digitale vervanging van analoge personeelsdocumenten gemeente Vlaardingen GEMEENTEBLAD Officiële uitgave van gemeente Vlaardingen. Nr. 9264 2 februari 2015 Handboek digitale vervanging van analoge personeelsdocumenten gemeente Vlaardingen 1. Algemeen / inleiding: De gemeente

Nadere informatie

Datum: januari 2015. versie 1.0

Datum: januari 2015. versie 1.0 Bijlage bij het besluit tot vervanging door de gemeente Boxtel van analoge archiefbescheiden door digitale archiefbescheiden die ingevolge de selectielijst voor gemeentelijke archiefbescheiden voor bewaring

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Datum: mei 2014. versie 1.0. Naam opsteller: Jo Meulenaars

Datum: mei 2014. versie 1.0. Naam opsteller: Jo Meulenaars Bijlage bij het besluit tot vervanging door de gemeente Boxtel van de voor blijvende bewaring in aanmerking komende archiefbescheiden behorende tot de voormalige verleende milieuvergunningen Datum: mei

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Besluit Informatiebeheer van de gemeenschappelijke regeling DCMR Milieudienst Rijnmond

Besluit Informatiebeheer van de gemeenschappelijke regeling DCMR Milieudienst Rijnmond Het dagelijks bestuur van de gemeenschappelijke regeling DCMR Milieudienst Rijnmond: Gelezen het voorstel van de secretaris; Gelet op artikel 4 van de Arehiefverordening gemeenschappelijke regeling DCMR

Nadere informatie

GEMEENTEBLAD. Nr Inleiding Inkomende post Overige documenten. 23 juni Officiële uitgave van gemeente Ten Boer.

GEMEENTEBLAD. Nr Inleiding Inkomende post Overige documenten. 23 juni Officiële uitgave van gemeente Ten Boer. GEMEENTEBLAD Officiële uitgave van gemeente Ten Boer. Nr. 34724 23 juni 2014 Inleiding 2.1.1 Inkomende post Stap 1: openen van de post De post van de gemeente Ten Boer komt binnen op het adres en postbus

Nadere informatie

Handboek vervanging. Vervanging van fysieke te bewaren documenten door een digitale reproductie. Geschreven door: Bob Weynschenk

Handboek vervanging. Vervanging van fysieke te bewaren documenten door een digitale reproductie. Geschreven door: Bob Weynschenk 1061208 2014 Handboek vervanging Vervanging van fysieke te bewaren documenten door een digitale reproductie Hoogheemraadschap van Delfland Geschreven door: Bob Weynschenk Behorende bij de machtiging van

Nadere informatie

Archiefzorg en beheer 2013/2014

Archiefzorg en beheer 2013/2014 T Archiefzorg en beheer 2013/2014 Verslag aan de raad ten behoeve van de horizontale verantwoording van de zorg over en het beheer van (analoge en digitale) archieven conform de Archiefwet 1995 Inhoudsopgave

Nadere informatie

Handboek Digitale Vervanging Gemeente Venray

Handboek Digitale Vervanging Gemeente Venray Handboek Digitale Vervanging Gemeente Venray Handboek voor het vervangen van analoge door digitale documenten die ingevolge de selectielijst voor gemeentelijke archiefbescheiden voor bewaring dan wel vernietiging

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Statenmededeling. Jaarverslag zorgplicht archieven 2013-2014. Aan Provinciale Staten van Noord-Brabant. Kennisnemen van

Statenmededeling. Jaarverslag zorgplicht archieven 2013-2014. Aan Provinciale Staten van Noord-Brabant. Kennisnemen van Statenmededeling Onderwerp Jaarverslag zorgplicht archieven 2013-2014 Aan Provinciale Staten van Noord-Brabant Kennisnemen van Jaarverslag Zorgplicht archieven 2013-2014 Aanleiding In november 2013 is

Nadere informatie

agendapunt 3.b.5 Aan College van Dijkgraaf en Hoogheemraden VERVANGING VAN TE BEWAREN FYSIEKE ARCHIEFBESCHEIDEN DOOR EEN DIGITAAL EXEMPLAAR

agendapunt 3.b.5 Aan College van Dijkgraaf en Hoogheemraden VERVANGING VAN TE BEWAREN FYSIEKE ARCHIEFBESCHEIDEN DOOR EEN DIGITAAL EXEMPLAAR agendapunt 3.b.5 1176471 Aan College van Dijkgraaf en Hoogheemraden VERVANGING VAN TE BEWAREN FYSIEKE ARCHIEFBESCHEIDEN DOOR EEN DIGITAAL EXEMPLAAR Portefeuillehouder Haersma Buma, M.A.P. van Datum 31

Nadere informatie

Handboek digitale vervanging Gemeente Helmond

Handboek digitale vervanging Gemeente Helmond Handboek digitale vervanging Gemeente Helmond J.W. Lodder Versie: 3 oktober 2013 Geaccordeerd door RHCe: 03-10-2013 Inhoudsopgave 1. Verantwoording 2 1.1 Inleiding 2 1.2 Doel van de vervanging 2 1.3 De

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Beheersregeling document- en archiefbeheer OPTA 2008

Beheersregeling document- en archiefbeheer OPTA 2008 Beheersregeling document- en archiefbeheer OPTA 2008 De voorzitter van het College van de Onafhankelijke Post en Telecommunicatie Autoriteit besluit vast te stellen het volgende: Besluit voor het beheer

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Baseline Informatiehuishouding Gemeenten. Managementsamenvatting

Baseline Informatiehuishouding Gemeenten. Managementsamenvatting Baseline Informatiehuishouding Gemeenten Managementsamenvatting Bijdragen De hieronder genoemde personen hebben in samenwerking met KING bijgedragen aan de totstandkoming van de Baseline Informatiehuishouding

Nadere informatie

Vervanging van papieren bouw- en omgevingsvergunningen door digitale reproducties

Vervanging van papieren bouw- en omgevingsvergunningen door digitale reproducties Reg. nr.: 1310408 Afdeling: Concern en Dienstverlening Onderwerp Vervanging van papieren bouw- en omgevingsvergunningen door digitale reproducties Samenvatting Gemeenten vallen onder de werking van de

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

LEIDRAAD voor de vervanging van archiefbescheiden

LEIDRAAD voor de vervanging van archiefbescheiden L E I D R A A D LEIDRAAD voor de vervanging van archiefbescheiden Voorwaarden, procedure en stappenplan Geactualiseerde versie 1 maart 2013 Archiefinspectie Regionaal Archief Nijmegen 1 Inhoudsopgave 1.

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Digitalisering en duurzame toegankelijkheid van informatie bij de provincie Noord-Brabant

Digitalisering en duurzame toegankelijkheid van informatie bij de provincie Noord-Brabant Startnotitie informatie bij de provincie Noord-Brabant 1. Inleiding Duurzame toegankelijkheid van informatie hangt af van de manier waarop informatiedragers, zoals nota s, brieven en emailberichten worden

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Toezichtinformatie Toezichtindicatoren Archiefwet

Toezichtinformatie Toezichtindicatoren Archiefwet Toezichtinformatie Toezichtindicatoren Archiefwet Versie april 2013 Inhoudsopgave 1. Aanleiding... 3 2. Leeswijzer... 4 3. Matrix Archiefwet... 5 Auteur: Kwaliteitsinstituut Nederlandse Gemeenten (KING)

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

*13.077867* 13.077867

*13.077867* 13.077867 *13.077867* 13.077867 Onderwerp Advies Dossiercode kwaliteitsplan digitaal archief Corsakwaliteitsplan digitaal archief Corsa MEMO INTERN Van : Jean-Luc Rouvroye Aan : zaakgericht werken Datum : 20 november

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

(Besluit Informatiebeheer gemeente Coevorden 1998)

(Besluit Informatiebeheer gemeente Coevorden 1998) Het college van burgemeester en wethouders van Coevorden; gelet op artikel 8 van de Archiefverordening besluit vast te stellen de navolgende: Voorschriften betreffende het beheer van de documenten van

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Artikel 4 De directeur van de beheerseenheid kan de uitvoering van de bepalingen van dit besluit mandateren aan één of meer medewerkers.

Artikel 4 De directeur van de beheerseenheid kan de uitvoering van de bepalingen van dit besluit mandateren aan één of meer medewerkers. 4C. BESLUIT INFORMATIEBEHEER REGIO TWENTE - besluit dagelijks bestuur van 20 maart 1998 Hoofdstuk 1 Algemene bepalingen Artikel 1 Dit besluit verstaat onder: a. documenten de in de wet in artikel 1, onder

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Handboek vervanging papieren archiefbescheiden gemeente Borsele 2014 14.011413

Handboek vervanging papieren archiefbescheiden gemeente Borsele 2014 14.011413 Handboek vervanging papieren archiefbescheiden gemeente Borsele 2014 14.011413 1 Inleiding en overwegingen vervanging... 3 Wettelijk kader... 3 Archiefwet 1995... 3 Archiefbesluit 1995... 4 Archiefregeling...

Nadere informatie

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015 Vaals, juni 2013 Versie 1.2 PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015 Inhoudsopgave Hoofdstuk 1 Plan van aanpak 1.1 Inleiding 3 Hoofdstuk 2 Actiepunten

Nadere informatie

artikel 40, eerste en tweede lid van de Archiefwet 1995 en artikel 36 van de gemeenschappelijke regeling RUD Utrecht

artikel 40, eerste en tweede lid van de Archiefwet 1995 en artikel 36 van de gemeenschappelijke regeling RUD Utrecht Archiefverordening RUD Utrecht 2014 Het algemeen bestuur van de RUD Utrecht gelezen het voorstel van het dagelijks bestuur van RUD Utrecht Gelet op: artikel 40, eerste en tweede lid van de Archiefwet 1995

Nadere informatie

Archiefreglement provincie Fryslân 2005

Archiefreglement provincie Fryslân 2005 Provinciaal Blad no. 30 Uitgegeven: 27 maart 2009 Archiefreglement provincie Fryslân 2005 De commissaris van de Koningin in de provincie Fryslân, provinciale staten van Fryslân en gelet op artikel 7 van

Nadere informatie

Informatie van nu, beschikbaar in de toekomst. Het Rotterdamse E-depot

Informatie van nu, beschikbaar in de toekomst. Het Rotterdamse E-depot Informatie van nu, beschikbaar in de toekomst Het Rotterdamse E-depot Stand van zaken Het Stadsarchief Rotterdam heeft twee opdrachten: Als informatiebeheerder van Rotterdam, klaarstaan voor de digitale

Nadere informatie

Voortgangsrapportage archiefbeheer. gemeente Scherpenzeel

Voortgangsrapportage archiefbeheer. gemeente Scherpenzeel Voortgangsrapportage archiefbeheer gemeente Scherpenzeel 2014/2015 Voortgangsrapportage archiefbeheer gemeente Scherpenzeel 2014/2015 (Volgens de systematiek van kritische prestatie indicatoren voor achief-

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Verslag post en archief gemeente Boxmeer over de periode 2009-2010

Verslag post en archief gemeente Boxmeer over de periode 2009-2010 Verslag post en archief gemeente Boxmeer over de periode 2009-2010 Boxmeer, 3 februari 2012 O-ID Inhoudsopgave 1. Opdracht 2. Postbehandeling 3. Archieven 3.1 Inleiding 3.2 Dynamische archieven 3.3. Semi

Nadere informatie

Vergadering: Algemeen bestuur. Datum: 7 juli 2015. Agendapunt: 5. Rapporteur. A. J. Borgdorff

Vergadering: Algemeen bestuur. Datum: 7 juli 2015. Agendapunt: 5. Rapporteur. A. J. Borgdorff Vergadering: Algemeen bestuur Datum: 7 juli 215 Agendapunt: 5 Rapporteur A. J. Borgdorff Onderwerp: Zorg en beheer archief Voorstel/Besluit: 1. de archiefverordening vast te stellen. Toelichting In hoofdstuk

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005

PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005 PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005 HOOFDSTUK 1. BEGRIPSBEPALING, REIKWIJDTE EN DOELEINDEN Artikel 1. Begripsbepaling In dit protocol wordt verstaan onder: Algemene postbus Elektronische

Nadere informatie

b. archiefregeling de Archiefregeling die in werking is getreden per 01-04-2010;

b. archiefregeling de Archiefregeling die in werking is getreden per 01-04-2010; BESLUIT INFORMATIEBEHEER GEMEENTE WAALWIJK 2014 Hoofdstuk I Algemene bepalingen Artikel 1. 1. Dit besluit bedoelt met: a. wet de Archiefwet 1995; b. archiefregeling de Archiefregeling die in werking is

Nadere informatie

Privé berichten Elektronische berichten die een medewerk(st)er niet uit hoofde van zijn of haar functie ontvangt of

Privé berichten Elektronische berichten die een medewerk(st)er niet uit hoofde van zijn of haar functie ontvangt of CVDR Officiële uitgave van Echt-Susteren. Nr. CVDR70878_1 25 november 2015 E-mail protocol Echt-Susteren 2006 De raad van de gemeente Echt-Susteren, gezien het voorstel van burgemeester en wethouders van

Nadere informatie

BLAD GEMEENSCHAPPELIJKE REGELING

BLAD GEMEENSCHAPPELIJKE REGELING BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van gemeenschappelijke regeling Regionale uitvoeringsdienst Zeeland. Nr. 162 8 juli 2015 Informatieverordening RUD Zeeland 2015 Het Algemeen Bestuur van

Nadere informatie

Het college van burgemeester en wethouders en de burgemeester van Oost Gelre;

Het college van burgemeester en wethouders en de burgemeester van Oost Gelre; E-mailprotocol Gemeente Oost Gelre Het college van burgemeester en wethouders en de burgemeester van Oost Gelre; overwegende dat het gewenst is regels te stellen met betrekking tot; -het gebruik van e-mail

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie Erik Saaman (projectleider DUTO) NORA Gebruikersraad, 9 juni 2015 normenkader@nationaalarchief.nl Duurzaam toegankelijke overheidsinformatie

Nadere informatie

Model-regeling Archiefbeheer/Documentaire Informatievoorziening. RAAMREGELING ARCHIEFBEHEER/ DOCUMENTAIRE INFORMATIEVOORZIENING [naam instelling]

Model-regeling Archiefbeheer/Documentaire Informatievoorziening. RAAMREGELING ARCHIEFBEHEER/ DOCUMENTAIRE INFORMATIEVOORZIENING [naam instelling] RAAMREGELING ARCHIEFBEHEER/ DOCUMENTAIRE INFORMATIEVOORZIENING [naam instelling] PAZU Werkgroep Beheersregels Page 1 29-10-2002 INDELING Art. nrs. Blz. Hoofdstuk I Algemene bepalingen 1 3/5 Hoofdstuk II

Nadere informatie

Rapportage. onderzoek intern postproces. gemeente Halderberge

Rapportage. onderzoek intern postproces. gemeente Halderberge Rapportage onderzoek intern postproces gemeente Halderberge Opsteller: P.C.J. Nelen 28 oktober 2015 Het Lint 27 06 31 93 96 20 www.idealiter.nl BTW-nr. NL147041016B01 BANK: 4691 DK Tholen 0166 76 90 08

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

1. Invoering wet Revitalisering Generiek Toezicht en de gevolgen hiervan voor toezicht en verantwoording Archiefwet 1995

1. Invoering wet Revitalisering Generiek Toezicht en de gevolgen hiervan voor toezicht en verantwoording Archiefwet 1995 Agendanr.: 6 Voorstelnr.: RB2013083 Onderwerp: Diverse onderwerpen op het gebied van archiefbeheer, te weten: - de invoering van de wet Revitalisering Generiek Toezicht en de gevolgen hiervan voor toezicht

Nadere informatie

Verslag archief- en informatiebeheer GR Ferm Werk

Verslag archief- en informatiebeheer GR Ferm Werk Verslag archief- en informatiebeheer 2015 GR Ferm Werk Vastgesteld door het dagelijks bestuur van Ferm Werk op 9 juni 2016 Inleiding Als archiefzorgdrager legt het dagelijks bestuur van Ferm Werk verantwoording

Nadere informatie

Tool voor certificering instrumenten voor verantwoord digitaal

Tool voor certificering instrumenten voor verantwoord digitaal Tool voor certificering instrumenten voor verantwoord digitaal werken Jan Beens (Regionaal Archief Nijmegen) Geert-Jan van Bussel (Van Bussel Document Services) Introductie De elementen zijn afkomstig

Nadere informatie

Onderdelen Functies Resultaat Digitaliseren van binnenkomende post met Duidelijk herkenbare digitale documenten

Onderdelen Functies Resultaat Digitaliseren van binnenkomende post met Duidelijk herkenbare digitale documenten Bijlage 2 Vastgestelde evaluatiecriteria en behaalde resultaten Criteria voor de technische evaluatie van het generieke postproces Digitaliseren van binnenkomende post met Duidelijk herkenbare digitale

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

TOELICHTING REGELING ARCHIEFBEHEER UNIVERSITEIT TWENTE 2015 Ex artikel 14 van het Archiefbesluit 1995

TOELICHTING REGELING ARCHIEFBEHEER UNIVERSITEIT TWENTE 2015 Ex artikel 14 van het Archiefbesluit 1995 TOELICHTING REGELING ARCHIEFBEHEER UNIVERSITEIT TWENTE 2015 Ex artikel 14 van het Archiefbesluit 1995 KENMERK: B&A 15/1035 /DNT DEFINITIEVE VERSIE 4.0 VAN 14 JULI 2015 AUTEUR: W.H.G. OLIJSLAGER Hoofdstuk

Nadere informatie

Monitor Erfgoedinspectie

Monitor Erfgoedinspectie Erfgoedinspectie Ministerie van Onderwijs, Cultuur en Wetenschap Monitor Erfgoedinspectie Staat van de naleving 2011-2012 Bijlage: Integrale vragenlijst met antwoorden, toezichtveld archieven A2 Hoeveel

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN

VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Datum Colofon Naam document Voorbeeld

Nadere informatie

Selectie en vernietiging

Selectie en vernietiging Selectie en vernietiging Het wettelijk kader De ophef in 1998 over het vernietigen van dossiers van de Militaire Inlichtingen Dienst (MID), in de pers en in de Tweede Kamer, laat zien dat van overheidsorganisaties

Nadere informatie

Handboek vervanging archiefbescheiden van actieve ARBO- en ATW-zaken bij de Arbeidsinspectie

Handboek vervanging archiefbescheiden van actieve ARBO- en ATW-zaken bij de Arbeidsinspectie DEZE BIJLAGE BEHOORT BIJ DE TOELICHTING OP DE REGELING VAN DE MINISTER VAN SOCIALE ZAKEN EN WERKGELEGENHEID VAN., BV/DCA/2010/15373 TOT VERVANGING VAN ARCHIEFBESCHEIDEN ROND HET TOEZICHT OP DE ARBEIDSOMSTANDIGHEDENWET

Nadere informatie

PROVINCIAAL BLAD. Gelet op artikel 7 van de Archiefverordening provincie Utrecht 2014;

PROVINCIAAL BLAD. Gelet op artikel 7 van de Archiefverordening provincie Utrecht 2014; PROVINCIAAL BLAD Officiële uitgave van provincie Utrecht. Nr. 1077 2 maart 2015 Besluit van Gedeputeerde Staten van Utrecht van d.d. 16 december 2014, nr. 8107CF7C betreffende de voorschriften voor het

Nadere informatie

(070) 373 8393. Brief aan de leden T.a.v. het college en de raad. Samenvatting. informatiecentrum tel. ons kenmerk BAOZW/U201300267 Lbr.

(070) 373 8393. Brief aan de leden T.a.v. het college en de raad. Samenvatting. informatiecentrum tel. ons kenmerk BAOZW/U201300267 Lbr. Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Archiefconvenant; wijzigingen in de Archiefwet en -regelgeving Samenvatting uw kenmerk ons kenmerk BAOZW/U201300267

Nadere informatie

Regelgeving Archiefbeheer Universiteit Leiden

Regelgeving Archiefbeheer Universiteit Leiden Regelgeving Archiefbeheer Universiteit Leiden ex artikel 14 van het Archiefbesluit 1995 Hoofdstuk 1: Algemene bepalingen Hoofdstuk 2: Het archiefbeheer in de dynamische fase Hoofdstuk 3: Het archiefbeheer

Nadere informatie

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep Statusoverzicht. Consultatie 1 Consultatie 2 Voorgenomen besluit Bestuursgroep OR q Instemming q Advies q N.v.t. Vastgesteld door Bestuursgroep N.v.t. N.v.t. Borging. Implementatie m.i.v. Opgenomen in

Nadere informatie

Behoort bij raadsvoorstel , titel: Actualisatie Archiefverordening Utrechtse Heuvelrug

Behoort bij raadsvoorstel , titel: Actualisatie Archiefverordening Utrechtse Heuvelrug Behoort bij raadsvoorstel 2016-310, titel: Actualisatie Archiefverordening Utrechtse Heuvelrug De raad van de gemeente Utrechtse Heuvelrug; Gelezen het voorstel van het college van burgemeester en wethouders

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Model verslag/vragenlijst Inspectiebezoek.

Model verslag/vragenlijst Inspectiebezoek. Model verslag/vragenlijst Inspectiebezoek. I. Algemeen De Archiefinspectie Rijckheyt houdt, conform artikel 32 van de Archiefwet 1995, toezicht op het beheer van nog niet overgebrachte archiefbescheiden

Nadere informatie

IT voor Controllers Mark Vermeer, CIO

IT voor Controllers Mark Vermeer, CIO IT voor Controllers Mark Vermeer, CIO 1 Rotterdam getallen Rotterdam: 620.000 inwoners, 50% autochtoon 173 nationaliteiten 3,4 miljard 11.000 fte IT 100 mln 400+ IT staf 5 clusters, SSC en bestuursstaf

Nadere informatie

BLAD GEMEENSCHAPPELIJKE REGELING

BLAD GEMEENSCHAPPELIJKE REGELING BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van gemeenschappelijke regeling Regionale uitvoeringsdienst Zeeland. Nr. 368 13 november 2015 Besluit informatiebeheer RUD Zeeland 2015 Het Dagelijks

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

BESLUIT INFORMATIEBEHEER PROVINCIE FRYSLAN 2014. De commissaris van de Koning in de provincie Fryslân, Gedeputeerde Staten van de provincie Fryslân;

BESLUIT INFORMATIEBEHEER PROVINCIE FRYSLAN 2014. De commissaris van de Koning in de provincie Fryslân, Gedeputeerde Staten van de provincie Fryslân; BESLUIT INFORMATIEBEHEER PROVINCIE FRYSLAN 2014 De commissaris van de Koning in de provincie Fryslân, en Gedeputeerde Staten van de provincie Fryslân; gelet op artikel 7 van de Archiefverordening Provincie

Nadere informatie

Procedure omgang met (risicovolle) informatie *358656*

Procedure omgang met (risicovolle) informatie *358656* Procedure omgang met (risicovolle) informatie *358656* Inhoud Procedure omgang met (risicovolle) informatie... 1 Inleiding... 1 Reikwijdte... 1 Verantwoordelijkheden... 2 Procedure m.b.t. Verseon... 2

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Voorbeeld Praktijkopdracht. Secretaresse niveau 3. Betreft: Zorgt voor de schriftelijke informatie-uitwisseling

Voorbeeld Praktijkopdracht. Secretaresse niveau 3. Betreft: Zorgt voor de schriftelijke informatie-uitwisseling Voorbeeld Praktijkopdracht Secretaresse niveau 3 Betreft: Zorgt voor de schriftelijke informatie-uitwisseling Kwalificatiedossier Secretariële beroepen 2011-2012 Kwalificatie Secretaresse Kerntaak 1 Voert

Nadere informatie

Inleiding Dit realisatieplan vervangt het realisatieplan van 26 oktober 2012. Aanleiding hiervoor is beschreven onder het hoofdstuk Stand van Zaken.

Inleiding Dit realisatieplan vervangt het realisatieplan van 26 oktober 2012. Aanleiding hiervoor is beschreven onder het hoofdstuk Stand van Zaken. Realisatieplan Realisatieplan april december 2013 t.b.v. realisatiefase Datum: Juni 2013 Versie: 3 Pagina: 1 van 5 Programma - Soort project Dienstverlening Projectnaam Digitalisering Post en Archief Ambtelijk

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Handboek Vervanging. Handboek Vervanging 1

Handboek Vervanging. Handboek Vervanging 1 Handboek Vervanging Vervanging van analoge archiefbescheiden door digitale reproducties bij de Bestuursdienst Ommen-Hardenberg, gemeente Ommen en gemeente Hardenberg Auteurs: Johan Seekles: Gemeentelijk

Nadere informatie

Voorbeeld Praktijkopdracht. Directiesecretaresse-management assistent niveau 4. Betreft: Zorgt voor de schriftelijke informatie-uitwisseling

Voorbeeld Praktijkopdracht. Directiesecretaresse-management assistent niveau 4. Betreft: Zorgt voor de schriftelijke informatie-uitwisseling Voorbeeld Praktijkopdracht Directiesecretaresse-management assistent niveau 4 Betreft: Zorgt voor de schriftelijke informatie-uitwisseling Kwalificatiedossier Secretariële beroepen 2011-2012 Kwalificatie

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Eindverslag Werkpakket Toetsing Utrechtse Referentiearchitectuur

Eindverslag Werkpakket Toetsing Utrechtse Referentiearchitectuur Eindverslag Werkpakket Toetsing Utrechtse Referentiearchitectuur Pilot e-depot gemeente Utrecht & Het Utrechts Archief 2014 1 2 INHOUDSOPGAVE 1 INLEIDING... 3 2 OPDRACHT... 5 3 RESULTATEN EN PRODUCTEN...

Nadere informatie

Ieder document direct beschikbaar

Ieder document direct beschikbaar Slide 1 Ieder document direct beschikbaar 4 februari 2016 1 Slide 2 Over Expansion Implementatiespecialist op gebied van digitale documentverwerking en archivering Verantwoordelijk voor volledig implementatietraject

Nadere informatie

Handboek Vervanging. Gemeente Lansingerland

Handboek Vervanging. Gemeente Lansingerland Handboek Vervanging Gemeente Lansingerland Versie Omschrijving Datum 0.3 29-5-2012 0.4 Versie gebruikt bij audit; opmerkingen A. Gomes en P. 14-6-2012 Diebels verwerkt en diverse bijlages toegevoegd. 0.5

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie