een open deur? Informatieveiligheid en privacy in het sociaal domein onderzoek Rekenkamercommissie

Transcriptie

1 een open deur? Informatieveiligheid en privacy in het sociaal domein onderzoek Rekenkamercommissie april 2016

2 Informatieveiligheid en privacy in het sociaal domein Een open deur? Rekenkamercommissie Eindhoven April 2016

3 Inhoud INLEIDING VRAAGSTELLING AANPAK BEVINDINGEN KADERS Doelen en werkwijzen Taken en bevoegdheden in informatieveiligheidsbeleid en privacy De praktijk in het sociaal domein CONCLUSIES AANBEVELINGEN CONCEPTRAADSBESLUIT TOEKOMSTIGE OPGAVEN BIJLAGE ONDERZOEKSRAPPORT PUBLIC PROFIT & BERENSCHOT..15 Colofon Gemeente Eindhoven April 2016 Rekenkamercommissie Eindhoven Walter Hartmann Cris van Osch Mpanzu Bamenga Linda Hofman Ko Jansen Saskia Lammers Tineke van den Biggelaar voorzitter vicevoorzitter raadslid raadslid raadslid raadslid secretaris/onderzoeker 2

4 INLEIDING De gemeentelijke taken in het sociaal domein zijn met ingang van 2015 uitgebreid door de Jeugdwet, de Wet Maatschappelijke Ondersteuning (WMO) 2015 en de Participatiewet. De gemeente is verantwoordelijk voor de uitvoering en kwaliteit van deze taken en maakt hierin eigen keuzes. De gemeente verwerkt door die nieuwe taken meer gegevens van meer mensen. Zo worden gegevens over inkomen, medische en strafrechtelijke kwesties verwerkt. Inwoners die hulp nodig hebben kunnen zich melden bij de Stichting WIJeindhoven. Deze organisatie regelt de toegang tot eventuele verdere zorg of ondersteuning. Als bewoners hulp vragen aan medewerkers van WIJeindhoven worden gegevens in een zelfstandigheidsmatrix in het digitale WIJportaal ingevuld en zo nodig wordt toestemming gevraagd gegevens door te sturen naar andere hulpverlenende organisaties. Deze toestemming is nodig om in aanmerking te komen voor nadere hulp, zoals jeugdzorg. Voor deze specialistische hulp worden gegevens overgezet naar de gemeentelijke administratie (backoffice) die de inkoop van de zorg regelt. De wijze waarop de gemeente de privacy borgt en de informatiebeveiliging organiseert staat momenteel in de belangstelling en vormt de aanleiding van het onderzoek. Gezien de technologische ontwikkelingen, de gemeentelijke verantwoordelijkheden in het sociaal domein en de ambities van de digitale overheid is transparantie in de huidige stand van zaken en adequaat risicomanagement van belang. De Eindhovense rekenkamercommissie beoogt inzicht te krijgen in de mate van doeltreffendheid en doelmatigheid van de informatieveiligheid en het privacybeleid in het sociaal domein, en beoogt mogelijke richtingen van verbetering te identificeren. 1 VRAAGSTELLING De centrale vraagstelling luidt: In hoeverre is de informatieveiligheid en het privacybeleid in het sociaal domein doeltreffend en doelmatig? Deelvragen zijn: Wat zijn kaders? Wat zijn doelen/werkwijzen? Wat zijn taken en bevoegdheden? Of: hoe is de organisatie van het privacybeleid en informatieveiligheid vormgegeven? Hoe verloopt dit in de praktijk in het sociaal domein? Wat zijn condities voor succes? Wat zijn toekomstige opgaven? 3

5 2 AANPAK De rekenkamercommissie heeft een extern onderzoeksbureau geselecteerd om het verdiepende onderzoek te verrichten. Het onderzoek vond plaats door dossieranalyse en interviews met de verantwoordelijk wethouder, relevante sleutelfiguren van de gemeentelijke organisatie en directie en medewerkers van WIJeindhoven. Het onderzoek richt zich vooral op beleid, werkwijzen en organisatie van de gemeente Eindhoven in de periode van december 2015 tot maart BEVINDINGEN 3.1 KADERS Privacy kaders De Wet bescherming persoonsgegevens (Wbp) regelt de (geautomatiseerde) verwerking van persoonsgegevens. Hoofdzaak is dat persoonsgegevens in overeenstemming met de wet en op een behoorlijke, noodzakelijke (proportionaliteit) en zorgvuldige (subsidiariteit) wijze worden verwerkt. Organisaties die persoonsgegevens verwerken moeten dit melden bij de Autoriteit Persoonsgegevens. De wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI), de Jeugdwet, WMO en Participatiewet beschrijven aanvullende voorwaarden voor verwerking van persoonsgegevens. De Privacy Impact Analyse 3D, gebaseerd op de beleidsvisie Zorgvuldig en bewust (2014) werkt privacyaspecten uit voor de Jeugdzorg, WMO en Participatiewet. In de PIA 3D van het ministerie van Binnenlandse Zaken zijn handreikingen voor gemeenten opgenomen om op een verantwoorde wijze om te gaan met privacyaspecten. Voor de Rijksdienst is een Privacy Impact Analyse verplicht. Voor gemeenten is het uitvoeren van een Privacy Impact Assessment (nog) niet verplicht, maar o.a. de VNG en CBP 1 benadrukten dat vroegtijdig uitvoeren van een PIA voorkomt dat bij de inrichting van processen en gegevensuitwisseling privacy risico s worden gelopen. De gemeente Eindhoven heeft in februari 2016 een PIA uitgevoerd. Informatiebeveiliging kaders Verschillende wetten stellen eisen aan aspecten van informatiebeveiliging. Zo worden vanuit de wet Basis Registratie Personen (BRP) gemeenten verplicht mee te werken aan een assessment waarbij onder meer getoetst wordt of autorisatie, gegevensopslag en back-up van gegevens uit de BRP afdoende zijn geregeld. De wet SUWI verplicht gemeenten aan een zevental normen te voldoen zoals informatiebeveiligingsbeleid. Het (gemeentelijk) gebruik van DigiD vereist dat voldaan wordt aan aansluitvoorwaarden. Deze worden jaarlijks getoetst door een onafhankelijk auditor. Deze normen komen ook terug bij de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Gemeenten hanteren de BIG als referentiekader voor de informatiebeveiliging. Sinds 1 januari is de Wet meldplicht datalekken van kracht. Deze wet regelt de verantwoordelijkheid van bestuurders van organisaties in het geval dat privacygevoelige gegevens gelekt worden. Het lekken wordt ruim geïnterpreteerd. Ook het verlies van een USB stick of laptop met gevoelige 1 College Bescherming Persoonsgegevens. Per 1 januari 2015 is dit de Autoriteit Persoonsgegevens (AP) 4

6 gegevens geldt als een lek. Als sprake is van een dergelijk lek bestaat de verplichting om dit lek te melden bij de autoriteit persoonsgegevens (AP) en de getroffen personen. Als uit onderzoek blijkt dat de achterliggende informatiebeveiliging onvoldoende op orde is, kan de AP hoge boetes opleggen. De landelijke visitatiecommissie van de VNG bezoekt gemeenten en prikkelt tot daadwerkelijk opzetten en implementeren van informatieveiligheidsbeleid. Op landelijk niveau wordt toegewerkt naar een verantwoordingssystematiek informatieveiligheid. Gemeenten leggen dan op basis van een in control statement in het jaarverslag verantwoording af aan de gemeenteraad over informatieveiligheid. WIJeindhoven kaders De Stichting WIJeindhoven verzorgt de intake en toeleiding naar zorg in Eindhoven. Bij de oprichtingsakte van WIJeindhoven (2015) is het toezicht en bestuur beschreven en de verantwoording aan het college. Ook is het privacy statement als bijlage opgenomen. Dit privacy statement beschrijft hoe de stichting omgaat met privacygevoelige gegevens. Ook WIJeindhoven neemt de Baseline Informatieveiligheid Gemeenten (BIG) als uitgangspunt bij het inregelen van informatieveiligheid. Jaarlijks wordt tussen de stichting en de gemeente een dienstverleningsovereenkomst opgesteld. Deze overeenkomst geeft aan welke dienstverlening WIJeindhoven levert. In de overeenkomst is een korte passage over de omgang met privacygevoelige gegevens opgenomen. De stichting maakt gebruik van IT voorzieningen van de gemeente. Daaronder vallen het WIJportal, de koppelingen met achterliggende applicaties en de kantoorautomatisering. Deze dienstverlening (van gemeente naar stichting) is uitgewerkt in een Servicelevelovereenkomst waarin het niveau van deze dienstverlening en de randvoorwaarden zijn beschreven. De Wet meldplicht datalekken maakt het noodzakelijk om bewerkersovereenkomsten tussen de gemeente en de stichting af te sluiten. Deze overeenkomsten regelen de verantwoordelijkheid rond gegevensverwerking. 3.2 Doelen en werkwijzen Privacydoelen De gemeente Eindhoven ontwikkelt geen specifiek privacybeleid en baseert zich op de bestaande wet- en regelgeving. Ook de stichting WIJeindhoven heeft geen apart privacybeleid. Wel is als onderdeel van de stichtingsakte het eerder genoemde privacystatement opgesteld. Bij het borgen van privacy bij gegevensverwerking is het belangrijk dat (gemeentelijke) medewerkers zich bewust zijn van de privacygevoeligheid. Dit vraagt om continue managementaandacht. In februari 2016 is een Privacy Impact Analyse (PIA) uitgevoerd. Deze PIA wijst onder meer op het ontbreken van een gemeentelijk privacybeleid. De huidige opzet van de werkprocessen in het WijPortal geeft onvoldoende invulling aan wettelijke vereisten vanuit de Wet Bescherming Persoonsgegevens en specifieke eisen vanuit de 3Dwetten. 5

7 Aandacht voor privacy Het ontbreken van privacybeleid wil overigens niet zeggen dat de aandacht voor privacy afwezig is. We constateren in interviews met zowel de generalisten van WIJeindhoven als met in het werkveld betrokken ambtenaren wel degelijk aandacht voor privacy. WIJgeneralisten werken vanuit intrinsieke motivatie om het goede te doen vanuit het perspectief van de bewoner. Flankerend beleid om daaraan eenduidig invulling te geven ontbreekt echter bij de gemeente. Bij WIJeindhoven beperkt dit beleid zich tot het privacystatement. Privacy by Design Bij de opzet van het WIJportal is vanuit het uitgangspunt Privacy by Design gewerkt. Op dat moment is een analyse gemaakt van de privacyaspecten en de samenhangende achterliggende systemen. Uit de analyse zijn acties gedefinieerd. Een overzicht van hoe het met uitvoering van deze acties staat, kon de gemeente niet opleveren. Om te voorkomen dat bij het ontwerp van het WijPortal privacyaspecten over het hoofd gezien werden, was een PIA destijds adequaat geweest. Het onlangs uitgevoerde PIA had een bredere scope dan de eigen analyse van de gemeente. De analyse gaf indertijd niet of nauwelijks aandacht aan de triage (momenten van beoordeling) in de werkprocessen. De PIA beschrijft de noodzaak om in de werkprocessen triagemomenten in te bouwen waarbij medewerkers expliciet afwegingen maken over de noodzaak van bepaalde gegevensverwerking en dossiervoering. In het voorjaar van 2016 staan bij de gemeente activiteiten gepland om te kunnen voldoen aan de Wet meldplicht datalekken. Het CIO office monitort de voortgang. Binnen de stichting WIJeindhoven zijn nog geen maatregelen getroffen om het privacybeleid verder uit te werken. Visie informatieveiligheid De gemeente heeft een visie op informatieveiligheid opgesteld. De visie is gebaseerd op de Baseline Informatieveiligheid Gemeenten (BIG). Implementatie van een informatiebeveiligingsbeleid heeft organisatorische en (IT) technische consequenties. Het doorvoeren van een op techniek gebaseerd principe is relatief eenvoudig uit te werken. Het is lastiger om bewustzijn te creëren rond informatiebeveiliging, het onderkennen van de diverse verantwoordelijkheden rond informatiebeveiliging en de implementatie daarvan. In de door de gemeente Eindhoven opgestelde visie op informatieveiligheid wordt dit onderkend. De visie gaat uit een vijftal plateaus waarlangs informatieveiligheid van de gemeente steeds meer gestalte krijgt. We hebben geen informatie gekregen die inzicht geeft in de voortgang. Maatregelen informatieveiligheid Er is specifiek voor het sociaal domein een GAP analyse voor informatieveiligheid gemaakt. Deze GAP analyse maakt inzichtelijk welke acties nog moeten worden uitgevoerd voordat de gemeente voldoet aan de Baseline Informatieveiligheid Gemeenten (BIG). De uitkomst van die analyse is dat de gemeente Eindhoven in het sociaal domein ongeveer de helft van de in de BIG opgenomen maatregelen heeft geïmplementeerd. Het voornemen in de GAP analyse was dat de overige maatregelen met looptijden van steeds een halfjaar ingevoerd zouden worden. Het betrof organisatorische en technische maatregelen. Van die ontbrekende maatregelen zijn 37 benoemd als prioritair voor het eerste halfjaar. Per actie zijn daarvoor de verantwoordelijken benoemd. 6

8 Het betreft onder meer: Het College van B&W waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de Informatiebeveiligingsmaatregelen te bespreken in het overleg van B&W en hiervan verslag te doen; Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven. De voortgang van de geïnventariseerde acties hebben we niet kunnen vaststellen. SUWInet De Inspectie Sociale Zaken toetst het gemeentelijke gebruik van SUWInet aan zeven normen uit de Baseline Informatievoorziening Gemeenten. De gemeente Eindhoven heeft in het najaar van 2015 aangetoond dat zij voldoet aan deze zeven normen. Eindhoven is daarmee een van de eerste gemeenten die aan deze eisen voldoet. In relatief korte tijd is zij er in geslaagd om verbeteringen door te voeren onder andere op het gebied van het verlenen van autorisaties. De gemeente geeft blijk van het op relatief korte termijn een adequaat niveau van informatiebeveiliging te kunnen regelen met gerichte energie en aandacht. WIJeindhoven Binnen de stichting WIJeindhoven is nog geen informatiebeveiligingsbeleid geformuleerd. De stichting wil invulling geven aan de Baseline Informatiebeveiliging Gemeenten BIG. Er zijn nog geen activiteiten op dat vlak gestart. In het privacystatement van WIJeindhoven is beschreven hoe de medewerkers van de stichting om gaan met privacyaspecten in de uitvoering van de werkzaamheden. Dit statement is niet bij alle generalisten bekend die met het WIJPortal werken. Onduidelijk is hoe binnen de kaders van de stichting wordt nagezien op de correcte naleving van die privacyaspecten in de praktijk. In de dienstverleningsovereenkomst en SLA zijn passages opgenomen waarin de stichting/de gemeente uitspreekt aandacht te geven aan privacyaspecten. Deze passages zijn echter niet concreet uitgewerkt. Ze leiden niet tot een gestructureerde rapportage van de stichting aan de gemeente over aspecten van privacy en informatieveiligheid. De gemeente kan zich geen goed beeld vormen wat er op dit vlak binnen de stichting voorvalt. 3.3 Taken en bevoegdheden in informatieveiligheidsbeleid en privacy Beleid Binnen de gemeentelijke sector Strategie maken een aantal medewerkers deel uit het van Chief Information Office. De functionaris informatieveiligheid legt rechtstreeks verantwoording af aan de Chief Information Officer (tevens lid van de directieraad). Van de functionaris informatieveiligheid wordt verwacht dat hij ontwikkelingen binnen de gemeente op het vlak van informatieveiligheid monitort. Rapportages over deze monitoring hebben we niet onder ogen gekregen. 7

9 Verantwoordelijkheid gemeentelijke afdeling Sociaal Domein De informatiebeveiligingsfunctie zoals ook is beschreven in de visie, is sinds kort ingevuld binnen de gemeentelijke afdeling sociaal domein. Per 1 februari 2016 is een medewerker gegevensbeheer aangesteld binnen het CIO-office. De medewerker geldt als kwartiermaker voor de invulling van gestructureerd gegevensbeheer. Dit is een positief te waarderen ontwikkeling. De aanstelling loopt tot en met juni Verdere invulling van deze functie is afhankelijk van de resultaten van de kwartiermaker. Bestuurlijke verantwoordelijkheid Binnen het college is de Wethouder Innovatie en bedrijfsvoering verantwoordelijk voor de portefeuille informatiebeveiliging en privacy. Vanuit de door innovatie gedreven gemeente zijn informatieveiligheid en privacy randvoorwaardelijke thema s. De wethouder wordt ad-hoc geïnformeerd over de invulling van deze thema s. Verantwoordelijkheden CIO-Office, afdeling Sociaal Domein en WIJeindhoven. Hoe nu precies de verantwoordelijkheden tussen CIO-office, de afdeling SociaalDomeinSupport van de gemeente en WIJeindhoven ten aanzien van informatieveiligheid liggen is onduidelijk. Er is geen sprake van een gestructureerd overleg en rapportage op het thema. Zowel ten aanzien van de uitwerking van de visie op informatiebeleid als ten aanzien van de GAP analyse in het sociaal domein constateren we dat de voortgang van de implementatie van informatieveiligheidsbeleid onvoldoende wordt gemonitord. De CIO heeft ons gemeld dat de implementatie van dergelijke maatregelen allereerst een verantwoordelijkheid is van de betreffende sectoren. Het CIO-office monitort de voortgang daarvan. We hebben geen informatie van het CIOoffice gekregen waaruit die monitoring of rapportage daarover blijkt. Wel is door het CIO-office in 2016 opnieuw een lijst opgesteld met noodzakelijk te nemen maatregelen. Deze lijst is echter meer technisch van aard en kan niet direct worden aangesloten op de resultaten van de eerdere GAP analyse. Binnen de stichting WIJeindhoven is (nog) geen invulling gegeven aan de organisatie van informatieveiligheid. 3.4 De praktijk in het sociaal domein Keukentafelgesprek en gemeentelijke backoffice De stichting WIJeindhoven verzorgt de intake in het keukentafelgesprek en toeleiding naar zorg voor bewoners van de gemeente Eindhoven. De generalisten van WIJeindhoven verwoorden met bewoners uiteindelijk de hulpvraag en adviseren de gemeente over het leveren van deze zorg. Vanaf september 2015 treedt een groot aantal generalisten bij de stichting in dienst. Per januari 2016 heeft de stichting een omvang van 300fte. Het aantal taken en medewerkers nemen toe. De generalisten werken met privacygevoelige gegevens. De gemeente is verantwoordelijk voor de gegevensverwerking, voor de inkoop van deze zorg bij zorgorganisaties en voor de inzet van zorg bij bewoners. Zorgaanbieders/welzijnsinstellingen zijn verantwoordelijk voor de privacy en informatieveiligheid van hun cliënten. 8

10 De persoonsgegevens van de bewoners De bewoner heeft geen invloed op hetgeen achteraf nog in matrix/plan wordt vastgelegd en heeft geen directe inzage in deze registratie. Hij/zij kan deze inzage wel krijgen bij één van de generalisten. In sommige gevallen (echter niet gestructureerd) maken generalisten met bewoners een zgn. toestemmingsverklaring op. Op basis van deze generieke toestemmingsverklaring geeft de bewoner toestemming om persoonsgegevens daadwerkelijk op te nemen in het portal. Het werken met deze generieke toestemmingsverklaring is echter niet juist in het licht van de Wbp. De PIA adviseert om niet meer met deze algemene verklaring te werken, maar de toestemming voor gegevensverwerking in werkprocessen altijd te koppelen aan een specifieke afweging met een concreet, helder doel voor het doorgeven van persoonlijke informatie. Twee klachtenprocedures De stichting WIJeindhoven heeft een klachtenprocedure, deze is op de site lastig te vinden. De klachtenprocedure richt zich op de werkwijze van generalisten. Ook de gemeente heeft een beroepen bezwaarprocedure over de toekenning van voorzieningen. Twee klachtenprocedures is voor bewoners niet duidelijk. Bewoners moeten inzicht hebben in de werkwijze van WIJeindhoven en de gemeente om zich tot de juiste organisatie te kunnen wenden. Bewoner eigenaar van gegevens? De ambitie van gemeente en stichting om bewoners zelf eigenaar te maken voor de actualiteit van de in het portal beschikbare gegevens is vanuit privacyoverwegingen een verbetering. De inrichting van werkprocessen en het WijPortal is nu echter nog onvoldoende om dit bij bewoners neer te leggen. Een strakkere autorisatiemechanisme is daarvoor minimaal noodzakelijk. Het WIJPortal wat en dat informatie, noodzakelijkheidsbeginsel In het WIJPortal is alleen zogenaamde DAT informatie te vinden. Het betreft de informatie DAT een bewoner beschikt over een voorziening. Er is in het portal geen informatie beschikbaar over WAT deze voorziening dan precies is. De zelfredzaamheidsmatrix en plan van aanpak van een bewoner is niet in te zien door medewerkers van de gemeente en uitsluitend voor WIJmedewerkers. Backoffice: Deels handmatige koppeling met achterliggende systemen De door de generalisten bestelde zorg wordt handmatig overgenomen in achterliggende applicaties (GWS en IWI 3). Deze werkwijze is foutgevoelig. Met ingang van maart 2016 wordt een geautomatiseerde koppeling met GWS tot stand gebracht. De koppeling met IW3 is nog niet mogelijk. Te ruime autorisaties De toegang tot het WijPortal is te ruim van opzet. Alle generalisten hebben toegang tot alle daarin opgenomen dossiers. Daarnaast hadden tot voor kort gemeentelijke medewerkers van bezwaar en beroep toegang tot alle dossiers in het portal. De brede toekenning van autorisaties komt voort uit pragmatische overwegingen, zo kan snel worden voorzien in vervanging bij ziekte of noodgeval. Uit oogpunt van privacy is dit ongewenst. Zowel de landelijke PIA 3D als de Eindhovense PIA bevelen aan om autorisaties te beperken tot tenminste teamniveau. In gevallen waarin anderen toch bij de betreffende gegevens moeten kunnen (noodgevallen; s nachts etc) wordt een breaking glass 9

11 procedure aangeraden. De autorisatie wordt verleend en dit wordt ook gerapporteerd aan de direct verantwoordelijke. WIJPortal, gemeente is eigenaar, WIJeindhoven bewerker. Het gebruik van het WIJPortal en achterliggende systemen is vastgelegd in een Service Level Agreement (SLA). De systemen zijn eigendom van de gemeente Eindhoven. De stichting betaalt een jaarlijks bedrag voor het gebruik van de faciliteiten. De SLA bevat een escalatieladder voor geschillen. Tussen de directeur bedrijfsvoering van de gemeente en de directeur van WIJeindhoven kunnen geschillen uiteindelijk worden opgelost. Het is onduidelijk hoe de verantwoordelijkheden rond het eigenaarschap van de applicaties liggen als ook zij het oneens zijn. Verscherping van processen is noodzakelijk Portal en werkprocessen gaan ervan uit dat generalisten op alle beleidsvelden verantwoordelijk zijn voor intake en toeleiding naar zorg. De PIA stelt dat in de werkprocessen onvoldoende rekening gehouden wordt met specifieke privacy-eisen in de wetgeving WMO, Jeugd en Participatie. De inrichting van werkprocessen en portal geven de generalisten de mogelijkheid om een analyse van de zorgbehoefte per gezin te maken. Deze mogelijkheid staat op gespannen voet met het noodzakelijksvereiste in de Wbp. Vernieuwing WijPortal Gemeente en stichting denken na over de vervanging van het WijPortal. Op dit moment wordt een marktconsultatie uitgevoerd. Het is van belang dat de constateringen rond werkprocessen (integrale benadering, aandacht voor specifieke wetgeving) en autorisatie (niet meer geheel open ) met voldoende aandacht in een aanbestedingsprocedure wordt verwerkt. Dat vraagt overigens om een herbezinning op de huidige procesuitvoering bij stichting én gemeente. De uitgevoerde PIA geeft voor de inrichting een aantal handvatten. Bewerkersovereenkomsten in de maak Tussen de gemeente en stichting zijn nog geen bewerkersovereenkomsten opgesteld. Vanuit het perspectief dat de gemeente eigenaar is van de betreffende applicaties en gegevens, is de gemeente dan te zien als verantwoordelijke. De stichting treedt dan op als bewerker van die gegevens. Aan de gang met de Wet meldplicht datalekken Zowel bij de gemeente als de stichting moet aandacht gegeven worden aan implementatie van noodzakelijke maatregelen rond de Wet meldplicht datalekken. Bij de gemeente is een aantal acties onderkend door het CIO-office. Bij de stichting is ten tijde van het onderzoek nog geen actie op dit vlak ontplooid. 10

12 4 CONCLUSIES De informatieveiligheid en het privacybeleid in het sociaal domein van de gemeente Eindhoven is onvoldoende doeltreffend en de doelmatigheid bij gebrek aan control kan niet worden vastgesteld. 1. Binnen de gemeente Eindhoven en WIJeindhoven is men zich bewust van het belang van informatieveiligheid en privacy in het sociaal domein. Visies op informatiebeveiliging zijn ontwikkeld en analyses zijn uitgevoerd. Privacybeleid is binnen de gemeente niet expliciet geformuleerd. De verantwoordelijkheid voor de implementatie van informatieveiligheid is overgedragen aan de diverse organisatieonderdelen van de gemeenten. Er is onvoldoende invulling gegeven aan de monitoring van de daadwerkelijke uitvoering daarvan waardoor inzicht in de voortgang uit zicht raakt. In het verlengde hiervan geldt dat niet of nauwelijks gestructureerd gerapporteerd wordt over de informatieveiligheid en privacy. Het college rapporteert niet aan de gemeenteraad; de organisatieonderdelen rapporteren niet aan het CIO-office, de stichting rapporteert niet over deze aspecten aan de gemeente. Daarbij wordt overigens opgemerkt dat de gehele rapportagestructuur van de stichting aan gemeente nog in de kinderschoenen staat. 2. De gemeente heeft voldoende analyses en onderzoeken uitgevoerd om op een gefaseerde wijze het door haar gewenste niveau van informatiebeveiliging en privacybescherming te realiseren. Een update van de visie op informatieveiligheid, een actualisering van de GAP analyse en het vertalen van de resultaten van de Privacy Impact Analyse 3D geven meer dan voldoende handvatten om een volgende stap te zetten. 3. Bij het ontwerp van het WIJPortal is privacy als een variabele gehanteerd. Het portal bevat alleen die informatie die voor het werk van een generalist binnen de stichting relevant is. De informatie die wordt overgedragen aan de gemeente voor de inzet van geadviseerde zorg is beperkt tot hetgeen nodig is voor het afroepen van zorg. Het ontwerp van werkprocessen en de inrichting van het WIJPortal houdt onvoldoende rekening met de specifieke eisen van wetgeving in het sociaal domein. De Jeugdwet, Participatiewet en Wmo geven richting aan de toegang en gebruik van gegevens. De PIA constateert ook dat de gegevensverwerking in bestaande werkprocessen nog eens moeten worden bezien. De aanbesteding van een vernieuwd WIJPortal is naar aanleiding van de PIA uitgesteld. De voortgang van die vervanging dient gemonitord te worden omdat de huidige werkprocessen risico s hebben. 4. De inrichting van autorisaties in het WIJPortal is veel te ruim. Alle generalisten hebben toegang tot alle dossiers. De huidige werkwijze geeft een overall inzicht in de gezinssituatie. Hoewel geheel in lijn met de kabinetsvisie, staat dit op gespannen voet met het noodzakelijkheidsbeginsel uit de Wbp. De invulling van de autorisatiesystematiek behoeft aanpassing. Bij WIJeindhoven is in de afgelopen periode een groot aantal medewerkers ingestroomd. Die instroom en groei van de organisatie zet de komende periode door. Deze groei maakt een nadere afbakening van autorisaties een urgente kwestie. Een gestructureerde aanpak om binnen de kaders van de stichting de aandacht voor privacy op het goede niveau te houden ontbreekt. 11

13 5 AANBEVELINGEN Aan het college 1. Sluit de cyclus: stel voortgangsrapportages op vanuit het CIO-office met betrekking tot informatieveiligheid en privacy en bespreek deze periodiek in de directieraad en in college. Rapporteer hierover aan de raad. 2. Zorg voor een actieve sturing op de uitvoering van de aanbevelingen van de recente PIA in de gemeente Eindhoven. Herijk de visie op informatieveiligheid en de GAP analyse sociaal domein en stel een samenhangend plan op om de in te vullen maatregelen daadwerkelijk te implementeren. Anticipeer op de nieuwe Europese privacy verordening. Hanteer het principe van Privacy by Design voor sturing en monitoring. 3. Werk een gemeentelijk privacybeleid uit. Dit privacybeleid geeft medewerkers en bewoners een handelingskader. Zorg ervoor dat de raad periodiek over de invulling van dit privacybeleid wordt geïnformeerd. Geef in de uitwerking van het beleid aandacht aan de wijze waarop dit beleid in de gemeente wordt geïntroduceerd en welke maatregelen worden getroffen om de aandacht voor dit beleid levend te houden. 4. Herijk samen met WIJeindhoven de werkprocessen in het WijPortal op basis van de constateringen in de PIA. Maak afspraken hoe de stichting over de voortgang aan de gemeente rapporteert. Bewaak dat bij een aanbesteding voor de vernieuwing van het WijPortal deze herijkte processen en een minimaal op teamniveau ingericht autorisatiemechanisme het uitgangspunt vormen. 5. Breng op korte termijn met WIJeindhoven de autorisaties in het WIJportal terug naar teamniveau. Richt een procedure in die het mogelijk maakt om op gecontroleerde wijze tijdelijk gegeven autorisaties ruimer te verlenen. Zie erop toe dat de functioneel beheer deze autorisaties daadwerkelijk implementeert. Aan de gemeenteraad 1. Geef het college de opdracht om uiterlijk 1 juni 2016 met een plan van aanpak te komen waarin wordt aangegeven hoe de aanbevelingen worden geïmplementeerd en hoe daarover aan uw raad wordt gerapporteerd. 2. Maak met het college afspraken over de wijze waarop u geïnformeerd wordt over informatieveiligheid en privacyaspecten. Aan de stichting WIJeindhoven 1. Tref op korte termijn maatregelen met betrekking tot de te ruime autorisatie in het WijPortal. Het is verleidelijk om daarmee te wachten op de vervanging van het WijPortal, maar daarmee 12

14 verandert deze ruime autorisatie niet op de korte termijn. Werk minimaal toe naar een autorisatie op teamniveau en bezie in hoeverre de breaking glass procedure zoals die wordt beschreven in de PIA daadwerkelijk geïmplementeerd kan worden. Rapporteer hierover in de managementrapportage van de stichting naar de gemeente. 2. Herijk in nauwe samenwerking met de gemeente de beschreven werkprocessen in het sociaal domein en draag er zorg voor dat in een eventuele aanbesteding van het WijPortal deze herijkte werkprocessen het uitgangspunt zijn. Houd daarbij rekening met de eisen die gesteld moeten worden aan autorisatie én de koppelingen van het WijPortal met de achterliggende systemen. 3. Borg een continue aandacht voor privacy binnen de stichting. Draag er zorg voor dat aan alle medewerkers (bij indiensttreding) het privacy statement wordt uitgereikt. Zie erop toe dat het onderwerp privacy regelmatig onderwerp is binnen het frequente caseoverleg en rapporteer daarover aan de gemeente. 6 CONCEPTRAADSBESLUIT De rekenkamer adviseert de aanbevelingen onder hoofdstuk 5 over te nemen. De gemeenteraad besluit a) het college de opdracht te geven om uiterlijk 1 juni 2016 met een plan van aanpak te komen waarin wordt aangegeven hoe de aanbevelingen voor het college en de Stichting WIJeindhoven worden geïmplementeerd; b) het college de opdracht te geven halfjaarlijks in de P&C cyclus te rapporteren over de implementatie van het plan van aanpak en over informatieveiligheid en privacyaspecten. 7 TOEKOMSTIGE OPGAVEN De recente meldplicht datalekken stelt aanvullende eisen aan organisaties om op straffe van aanzienlijke boetes zorgvuldig om te gaan met persoonsgegevens. Niet alleen het niet melden van een datalek (USB/laptop) is strafbaar, maar ook het nalatig handelen om lekken te voorkomen. Europese Privacy verordening Een Europese Privacy verordening is in voorbereiding. Deze verordening scherpt onder meer de bevoegdheden van toezichthouders i.c. de Autoriteit Persoonsgegevens aan. De huidige plicht tot melding van een verwerking aan de toezichthouder(s) wordt beperkt. Intern moet een (aantoonbaar) overzicht bijgehouden worden van de verwerkingen binnen de organisatie. Dit kan bijvoorbeeld worden bijgehouden door een Functionaris voor de Gegevensbescherming (FG). 13

15 In de nieuwe verordening komen een aantal nieuwe rechten. Eén ervan is het recht om vergeten te worden. De betrokkene heeft als hij dat wil, het recht om zijn persoonsgegevens te (laten) verwijderen. Dit recht betekent dat organisaties altijd duidelijk inzichtelijk moeten hebben welke persoonsgegevens ze verwerken, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden. Veel systemen en processen zullen hierop aangepast moeten worden. Een ander recht is dataportabiliteit ook wel gegevensoverdraagbaarheid genoemd. De betrokkene moet zijn persoonsgegevens eenvoudig kunnen (laten) overzetten van de ene naar een andere organisatie, iets waar veel systemen ook nog niet op ingericht zijn. Op het gebied van informatiebeveiliging worden strengere eisen gesteld. Voordat met de verwerking wordt gestart moeten de impact en de risico s van de verwerking op de privacy van de betrokkene worden vastgesteld. Hiervoor dient gebruik te worden gemaakt van een PIA. De verordening zal na inwerkingtreding rechtstreeks van kracht zijn in EU-lidstaten, dus ook in Nederland. Met de invoering van de nieuwe verordening vervallen de huidige landelijke wetten. Ook de gemeente Eindhoven zal zich voorbereiden op de consequenties van deze nieuwe regelgeving. De werkzaamheden van de kwartiermaker gegevensbeheer zal mede in het teken moeten staan van deze voorbereidingen. Wanneer de verordening in werking treedt is nog niet duidelijk. Ontwikkelingen als big data (koppeling van diverse datasets) bieden nieuwe mogelijkheden (datamining en profiling) en efficiencyvoordelen waarbij veiligheid en privacy geborgd dienen te zijn. Daarenboven ambieert de gemeente Eindhoven een koploperspositie in open data waarbij ingezet wordt op het koppelen en ontsluiten van business intelligence. Transparantie in data beoogt fact-based beslissingen, kosteneffectief werken en meer mogelijkheden voor samenwerking met partijen in de stad en inwonersparticipatie. Meer aandacht informatieveiligheid De aandacht voor informatiebeveiliging zal de komende jaren dan ook toenemen. De VNG stuurt op een snelle adoptie van de Baseline Informatiebeveiliging gemeenten BIG. Een (bestuurlijk ingerichte) visitatiecommissie bezoekt gemeenten om de voortgang daarvan te bespreken. Implementatie van een verantwoordingssystematiek informatiebeveiliging wordt verwacht in Het wordt dan mogelijk om gestructureerd verantwoording aan de gemeenteraad af te leggen over de nu naast elkaar bestaande deelverantwoordingen over de BRP, DigiD en dergelijke. Neverending process De BIG is gebaseerd op internationale NEN 27001/2 normen. Deze normen worden regelmatig geüpdatet, en daardoor de gemeentelijke baseline ook. De implementatie van de BIG is daarom een neverending process en vraagt om continue aandacht. Tot slot: dit rekenkameronderzoek biedt inzicht in en geeft aanbevelingen op een werkgebied wat zich in de komende jaren steeds verder blijft ontwikkelen. Het is zaak om kort aan de wind te zeilen, voor de professionals binnen de gemeente en bij WIJeindhoven, en in de relatie tussen college en raad. Continu anticiperen, adequate implementatie en monitoring is noodzakelijk. 14

16 BIJLAGE drs. Hans Verdellen Public Profit Peter van Dijk RE RA Berenschot B.V. Eindhoven, 1 april 2016

17 BEANTWOORDING CENTRALE VRAAG In hoeverre is de informatieveiligheid en het privacybeleid in het sociaal domein doeltreffend en doelmatig? De informatieveiligheid en het privacybeleid is in het sociaal domein van de gemeente Eindhoven onvoldoende doeltreffend en de doelmatigheid kan bij gebrek aan controle niet worden vastgesteld. Dit is gebaseerd op de volgende argumenten: 1. Gemeente én stichting hebben onvoldoende geïnvesteerd in het daadwerkelijk borgen van flankerend beleid rond informatieveiligheid. We zien kwalitatief goede plannen en visieontwikkeling op het thema; het ontbreekt aan een voldoende invulling van control op de daadwerkelijk realiseren van plannen en samenhangende visie. Een informatieveiligheidsbeleid bij de stichting is nog niet geformuleerd. Daarmee is dit beleid onvoldoende doeltreffend en kan de doelmatigheid bij gebrek aan controle niet worden vastgesteld. 2. Gemeente en Stichting hebben beiden geen privacybeleid geformuleerd. Gesteld wordt dat de gemeente geldende wetgeving volgt en pas beleid formuleert als daarvoor een aanvullende noodzaak is. De stichting kent een privacy statement, dat nog niet bekend is bij alle medewerkers. Dit beleid is daarmee onvoldoende doeltreffend. Ook hier geldt dat door een gebrek aan controle de doelmatigheid niet kan worden vastgesteld. 3. De generalisten van de stichting WIJeindhoven worden in hun werk ondersteund door het WIJPortal. Bij het ontwerp is privacy by design als uitgangspunt gebruikt, echter zonder dat tijdig een Privacy Impact Analyse (PIA) is uitgevoerd. De PIA begin februari brengt aan het licht dat in bestaande werkprocessen verscherping noodzakelijk is om daadwerkelijk invulling te geven aan de eisen van respectievelijk de Wet bescherming persoonsgegevens en materiewetten (Wmo, Wet op de jeugdzorg). Ook zijn de verleende autorisaties binnen het WIJPortal te ruim ingesteld. Beperking daarvan is op korte termijn noodzakelijk. De opgave om de bestaande werkprocessen te verscherpen en de te ruime autorisatie van het portal maakt dat de huidige situatie op dit onderdeel noch doeltreffend noch doelmatig is. 4. Bij de gemeente Eindhoven en bij de stichting WIJeindhoven is bewustzijn van informatiebeveiliging en privacy aanwezig, blijkt uit de positionering van de stichting ten opzichte van de gemeente en de aandacht die daarbij gegeven is aan privacy en informatieveiligheid. Dit is een basis om tot een doeltreffende en doelmatige praktijk (beleid en uitvoering) te komen.

18 INLEIDING De vertrouwelijkheid en gebruik van (persoons) gegevens hebben veel maatschappelijke aandacht. Met ambities als de digitale overheid en nieuwe lokale taken staan gemeenten voor opgaven om dienstverlening efficiënt toegankelijk en veilig te bieden aan inwoners. Ontwikkelingen als big data (koppeling van diverse datasets) bieden nieuwe mogelijkheden (datamining en profiling) en efficiencyvoordelen waarbij veiligheid en privacy geborgd dienen te zijn. Daarenboven ambieert de gemeente Eindhoven een koploperspositie in open data waarbij ingezet wordt op het koppelen en ontsluiten van business intelligence. Transparantie in data beoogt fact-based beslissingen, kosteneffectief werken en meer mogelijkheden voor samenwerking met partijen in de stad en inwonersparticipatie. De gemeente is verantwoordelijk voor het beheer van verschillende basisregistraties (waaronder die van personen) en het verwerken en verstrekken van deze gegevens. Met de decentralisaties in het sociaal domein zijn de lokale verantwoordelijkheden voor de veiligheid van het betreffende dataverkeer met borging van privacyregels nog extra toegenomen door het soort informatie. Normen uit de Baseline Informatiehuishouding Gemeenten (BIG), (VNG & King, 2012) zijn richtinggevend en zijn via techniek, processen, samenwerking, organisatie en awareness te implementeren. Relevante wetgeving is de Wet bescherming persoonsgegevens (Wbp) en de Wet basisregistratie personen (Wbr). Het College bescherming persoonsgegevens (CBP) controleert de naleving van deze wetten. Nadere wetgeving (zowel landelijk als Europese) is in ontwikkeling omtrent privacy, datalekken en dataverwerking. In Eindhoven is de uitvoering van de decentrale taken uit het sociaal domein bij de Stichting WIJeindhoven belegd waarbij ketenorganisaties deeltaken uitvoeren. Een nulmeting en een impactanalyse (diepgang en normenkader nog niet bekend) zijn vorig jaar gehouden. De rekenkamercommissie vraagt zich af hoe de verschillende (technologische) ontwikkelingen op het gebied van datamogelijkheden in combinatie met nieuwe gedecentraliseerde taken in het Eindhovense sociaal domein, zich verhouden tot de informatieveiligheid en privacy en wat eventueel verbetering behoeft. De onderzoeksresultaten worden in de volgende hoofdstukken beschreven. Gestart wordt met de kaders, dan volgen de doelen en werkwijzen. In hoofdstuk 3 zijn de taken en bevoegdheden beschreven en hoofdstuk 4 beschrijft de praktijk. Als bijlagen zijn de verantwoording van het onderzoek en een afkortingenlijst opgenomen.

19 1. Kaders informatieveiligheid en privacy Kaders kunnen onderscheiden worden in landelijk beleid en wet- en regelgeving enerzijds en gemeentelijke kaders anderzijds. De wettelijke kaders zijn: Wet SUWI (structuur uitkering werk inkomen). Regelt de informatiedeling tussen sociale partners, inclusief het normenkader GeVS; Wet BRP (Wet basisregistratie personen). Regelt de eenmalige registratie en meervoudig gebruik van persoonsgegevens door de overheid. Regelt ook onder voorwaarden het verstrekken daarvan aan derden voor aangewezen taken; WBP (Wet bescherming persoonsgegevens). Regelt de omgang met persoonsgegevens, inclusief de meldplicht datalekken. Materiewetten zijn: Wet op de jeugdzorg. Regelt de verantwoordelijkheden van de overheid (en specifiek de gemeenten) bij het verlenen van jeugdzorg; Wet maatschappelijke ondersteuning. Regelt de verantwoordelijkheden van de overheid (en specifiek de gemeenten) bij het verlenen van ondersteuning; Participatiewet. Regelt de verantwoordelijkheden van de overheid (en specifiek de gemeenten) bij de organisatie van de sociale werkvoorziening; Als persoonsgegevens vanuit één wettelijk perspectief (Jeugdwet of WMO 2015) worden gebruikt voldoen de uitgangspunten van de Wet persoonsbescherming en de betreffende materiewet. Als sprake is van een complexer dossier waar of meer gezinsleden zijn betrokken of meerdere wetten op van toepassing zijn, wordt de omgang met persoonsgegevens complexer. Deze complexiteit vraagt dan om een daarop gerichte inrichting van werkprocessen waarbij steeds een afweging wordt gemaakt of het geoorloofd is om persoonsgegevens te betrekken in het afwegingsproces dat toeleidt naar zorg. Dit proces van afwegen wordt het triageproces genoemd. Het gemeentelijk kader bestaat uit: De resolutie Informatieveiligheid; randvoorwaarde voor professionele dienstverlening. Regelt de verantwoordelijkheid van gemeenten bij het realiseren van informatieveiligheid; Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.4/26

20 De Baseline Informatiebeveiliging gemeenten (BIG). Dit is het basisnormenkader voor gemeentelijke informatieveiligheid en is onderdeel van de onder (a) genoemde resolutie; De Privacy Impact Assessment Gemeentelijke 3D informatiehuishouding. In deze generieke PIA zijn privacyaspecten die samenhangen met de decentraliseren van WMO; Jeugdzorg en Participatiewet geduid. Deze PIA is ook als uitgangspunt gebruikt voor een specifiek op de gemeente opgezet privacy assessment onder verantwoordelijkheid van de gemeente Eindhoven; De oprichtingsakte en onderliggende stukken met betrekking tot WIJeindhoven. De inrichting van Governance en samenhangende rapportage worden in deze documenten beschreven; De uitvoeringsovereenkomst WIJeindhoven 2015 en In de uitvoeringsovereenkomsten wordt geconcretiseerd welke dienstverlening door de stichting wordt geleverd en onder welke voorwaarden dat gebeurt; De ServiceLevelAgreement (SLA) tussen WIJeindhoven en gemeente Eindhoven. In deze SLA is vastgelegd welke diensten door de gemeente aan de stichting wordt geleverd. Onder meer zijn beschreven het gebruik van het WIJPortal en koppelingen met achterliggende systemen; Het Privacy protocol WIJeindhoven. Dit protocol maakte onderdeel uit van de oprichting van de stichting. In het protocol wordt beschreven hoe de stichting omgaat met privacyaspecten van bewoners. Informatieveiligheid en gemeenten De afhankelijkheid van (gemeentelijke) organisaties van gegevensverwerking maakt dat het noodzakelijk is om die gegevensverwerking te borgen. Het gaat er immers om dat gemeenten, burgers en bedrijven ervan op aan kunnen dat de door gemeenten gebruikte gegevens actueel en juist zijn. Gemeenten zijn daarnaast steeds meer in ketens verbonden; met andere gemeenten, met uitvoeringsorganisaties en zeker in het sociaal domein met ketenpartners die uitvoerende taken in de zorg voor hun rekening nemen. Die ketenafhankelijkheid maakt dat tussen gemeenten en ketenpartners afspraken gemaakt moeten worden om de eerder aangehaalde actualiteit van gegevens te garanderen. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.5/26

21 Informatieveiligheid en Baseline Informatiebeveiliging Gemeenten (BIG). Gemeenten hebben zich op 23 november 2013 gecommitteerd om werk te maken van een professionele inrichting van informatiebeveiliging in de VNG resolutie Informatieveiligheid, randvoorwaarde voor professionele dienstverlening. In deze resolutie nemen gemeenten de verantwoordelijkheid op zich om werk te maken van informatiebeveiliging, daarbij gebruik te maken van de Baseline Informatiebeveiliging Gemeenten (BIG) als gemeenschappelijk referentiekader. De BIG is een referentiekader om invulling te geven aan informatiebeveiliging. De BIG kent een strategisch/tactische variant die de nadruk legt op de manier waarop de organisatie rond informatiebeveiliging moet worden ingericht. In de operationele BIG zijn normen en maatregelen uitgewerkt die invulling geven aan de inrichting van bijvoorbeeld toegangsbeveiliging, back-up etc. Als gemeenten invulling geven aan de implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG) worden vanuit de drie transities geen aanvullende eisen gesteld aan informatiebeveiliging. Vanuit de Wet op de jeugdzorg worden gegevens van gemeenten uitgewisseld met het justitiedomein. Deze gegevensuitwisseling vindt plaats via het koppelvlak CORV. De aansluitvoorwaarden voor gemeenten om daadwerkelijk aan te sluiten zijn één op één uit de baseline afgeleid. Gemeenten krijgen overigens even de tijd om daadwerkelijk aan deze 47 maatregelen invulling te geven. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.6/26

22 2. DOELEN EN WERKWIJZEN Visie en Beleid De gemeente Eindhoven heeft in juli 2014 een visie op informatiebeveiliging opgesteld. Deze visie is vastgesteld in de directieraad van de gemeente en is mede gebaseerd op de VNG resolutie Informatieveiligheid; randvoorwaarde voor dienstverlening. Deze resolutie is met overgrote meerderheid door de leden van de VNG aangenomen. De resolutie en ook het informatiebeveiligingsbeleid gaan uit van de implementatie van het normenkader Baseline Informatieveiligheid Gemeenten (BIG). De visie gaat uit van een gelaagde aanpak van de implementatie. De visie bevat een paragraaf waarin de te bereiken plateau s van die gelaagdheid zijn geschetst. Wij hebben in het onderzoek niet kunnen constateren of en in hoeverre deze activiteiten daadwerkelijk zijn/worden uitgevoerd. Eindhoven beschikt niet over een uitgewerkt privacybeleid vergelijkbaar met de visie op informatieveiligheid. Bij het ambtelijke hoor en wederhoor is gemeld dat het uitgangspunt van de gemeente is het zoveel als mogelijk aansluiten op wettelijke kaders, wet en regelgeving en geen additioneel beleid daarop formuleren. Beleid is dat er alleen lokaal beleid wordt gemaakt voor zover dat landelijk voorgeschreven is of noodzakelijk is voor de uitvoering. Eindhoven beschikt niet over een uitgewerkt juridisch kader voor gegevensverwerking in het sociaal domein, waarin duidelijk wordt voor welke taken gegevens worden verwerkt en door wie, welke randvoorwaarden van toepassing zijn bij de diverse taken, en met welke grondslag. In het kader van ambtelijke hoor en wederhoor is aangegeven dat Eindhoven het wettelijk juridisch kader volgt en dat in het kader van doelbinding de werkprocessen zijn getoetst voor welke taken gegevens worden verwerkt. Deze werkprocessen zijn aangemeld bij de Autoriteit Persoonsgegevens. In de privacyverklaring van WIJeindhoven verplicht zij zich tot het implementeren van de BIG uiterlijk januari In januari 2016 is nog geen invulling aan die implementatie gegeven. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.7/26

23 Bij de inrichting van werkwijzen en informatiesystemen in het sociaal domein is bij aanvang geen Privacy Impact Analyse uitgevoerd. Deze analyse is alsnog uitgevoerd op 1 februari Bij het uitvoeren van de PIA zijn zowel de sector Sociaal Domein (SDS) van de gemeente betrokken als een vertegenwoordiging van de stichting WIJeindhoven. Hoewel het geen wettelijke eis was om de PIA uit te voeren voor de ingangsdatum van de transities is dit wel nadrukkelijk geadviseerd door o.a. de VNG en het College van Bescherming Persoonsgegevens. De PIA in Eindhoven is uitgevoerd op basis van de kabinetsvisie Zorgvuldig en Bewust, die is uitgewerkt in de PIA 3D waarop onze uitgangspunten gebaseerd zijn. De resultaten van de Eindhovense PIA zijn waar relevant in deze rapportage verwerkt. De recent uitgevoerde PIA gaat in op achtereenvolgens: Het privacybeleid en juridische kaders; Governance en organisatie; Werkprocessen en Triage; Beheer en opslag van gegevens; Training en bewustwording medewerkers en positie van de burger. In de oprichtingsakte van de stichting WIJeindhoven, de dienstverleningsovereenkomst met de gemeente en de Service Level Agreement (SLA) is een passage opgenomen die het belang van het borgen van privacy benadrukt. We hebben geen nadere uitwerking van dergelijke passages aangetroffen. In het kader van ambtelijke hoor en wederhoor wordt gemeld dat er in eerste instantie voor is gekozen om medewerkers aan de hand van workshops en trainingen in dit proces mee te nemen. Door het onderwerp privacy in het werkproces te bespreken ontstaat er een betere bewustwording onder de medewerkers dan het alleen vast te leggen in de privacy verklaring. Voorts wordt gemeld dat de privacy verklaring een onderdeel is van de oprichtingsakte van WIJeindhoven. De PIA wijst op een onduidelijke verantwoordelijkheidsverdeling tussen de gemeente en de Stichting WIJeindhoven. Het ambtelijke hoor en wederhoor meldt dat verantwoordelijkheden zijn vastgelegd. WIJeindhoven heeft bij haar oprichting een privacystatement en de omgang met persoonsgegevens opgesteld. Daarin zijn de volgende uitgangspunten geformuleerd: WIJteams gaan respectvol om met de persoonlijke levenssfeer van een cliënt; Gegevens worden alleen vastgelegd voor zover noodzakelijk voor passende dienstverlening; De klant heeft zelf regie over zijn dossier; Veiligheid van de klant en/of zijn omgeving vormen de ondergrens; De WIJteams zijn open en transparant naar klanten. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.8/26

24 Uit een gesprek met een vijftal generalisten stellen we vast dat in ieder geval deze generalisten handelen in overeenstemming met de bovenstaande uitgangspunten. Deze generalisten van WIJeindhoven zijn echter niet bekend met het document Verklaring WIJeindhoven inzake privacybeleid en de omgang met persoonsgegevens. Dit is geen statistische representativiteit, maar wel illustratief voor de bekendheid in de praktijk. Implementatie BIG en GAP analyse In 2014 is een GAP analyse 1 uitgevoerd die gericht is op de implementatie van de tactische baseline informatiebeveiliging in het sociaal domein. In totaal zijn 303 maatregelen die in de BIG zijn opgenomen beoordeeld. Daarvan zijn 61 maatregelen gedefinieerd die ten tijde van het uitvoeren van de GAP analyse niet zijn ingevuld. Geconstateerd is dat 90 maatregelen deels zijn geïmplementeerd. De GAP analyse geeft een prioriteitsstelling aan van maatregelen die volgens de opstellers van de analyse de grootste prioriteit zouden moeten hebben. Deze 37 maatregelen zouden in het eerste halfjaar van 2015 geïmplementeerd moeten zijn. Er is geen informatie voorhanden over de voortgang van de implementatie van deze kritische geachte maatregelen. Het betreft onder andere: Het College van B&W waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de Informatiebeveiligingsmaatregelen te bespreken in het overleg van B&W en hiervan verslag te doen. Dit wordt gedaan tijdens de interim controle van de accountant, zo is aangegeven bij het ambtelijk hoor en wederhoor; Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven 2 ; 1 In een GAP analyse wordt de kloof zichtbaar gemaakt tussen het gewenste niveau van informatieveiligheid en de daadwerkelijk getroffen maatregelen. De analyse wordt gebruikt om verbeterplannen op te stellen en de voortgang daarvan te monitoren. 2 Het ambtelijk hoor en wederhoor geeft aan dat I&B een escalatieproces heeft ingeregeld in Topdesk. Er is onder meer een procedure voor databackup en disaster recovery. Recentelijk is hier ook een stappenplan aan toegevoegd voor wat te doen bij een virusaanval. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.9/26

25 Aan de gebruikers is een set gedragsregels aangereikt 3 met daarin minimaal het volgende: o Wachtwoorden worden niet opgeschreven; o Gebruikers delen hun wachtwoord nooit met anderen; o Wachtwoorden mogen niet opeenvolgend zijn; o Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde; o Wachtwoorden worden niet gebruikt in automatische inlogprocedure. Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures. Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies. Externe medewerkers, stagiaires en trainees tekenen een overeenkomst waarin ook geheimhouding in vernoemd staat. Er is een document Implementatieplanning BIG overlegd. Daaruit blijkt dat het merendeel van de in dit plan opgenomen maatregelen worden uitgevoerd in 2016 en Er is geen directe relatie te leggen tussen de onderwerpen in dit implementatieplan en de eerder aangehaalde GAP analyse. Bij het ambtelijk hoor en wederhoor is aangegeven dat de onderwerpen die zijn opgehaald bij de GAP analyse voor het sociaal domein ook als basis worden gebruikt voor de verdere implementatie en doorontwikkeling van beleid. De in het implementatieplan opgenomen onderwerpen zijn relevant voor het realiseren van een voor de gemeente adequate informatiebeveiliging. Zij is echter meer gericht op de daadwerkelijke technisch te realiseren maatregelen en besteed minder aandacht aan de in de GAP analyse opgenomen organisatorische maatregelen. Deze implementatiekalender vormt de basis van een in het eerste halfjaar van 2016 op te leveren realisatieplan. Dit plan wordt opgesteld door het CIO office. Een uitwerking daarvan is ten tijde van dit onderzoek niet voorhanden. 3 Nieuwe medewerkers krijgen de Eindhovense gedragsregels uitgereikt. Deze gedragsregels worden samen met het onderwerp integriteit behandeld tijdens de Eed of belofte bijeenkomst. Op het intranet van Eindhoven staan de gedragsregels als naslagwerk. In het kader van de BIG is gestart om de huidige gedragsregels af te stemmen op nieuwe eisen. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.10/26

26 Control Van de CIO ontvingen we een beschrijving van de wijze waarop de voortgang van maatregelen rond de implementatie van voorzien beleid, de GAP analyse en overig voorgenomen beleid wordt gemonitord/ gevolgd. Kern daarvan is dat na vaststelling beleid/ te treffen maatregelen de manager verantwoordelijk voor de diverse domeinen rapporteert aan de verantwoordelijk wethouder. We hebben dergelijke rapportages niet aangetroffen. Bij het ambtelijk hoor en wederhoor is dit als volgt nader toegelicht: Er is niet sprake van één manager die verantwoordelijk is. Na vaststelling van beleid zijn de sectorhoofden verantwoordelijk voor de uitvoering van de maatregelen die betrekking hebben op hun verantwoordelijkheidsgebied. Via de reguliere instrumenten en bijvoorbeeld beleidsoverleggen worden indien van toepassing bestuurders geïnformeerd. Op de hoofdlijn monitort het CIO office de voortgang van de voorgenomen maatregelen. We hebben geconstateerd dat de rol van CIO office op dit vlak ad-hoc wordt ingevuld, in ieder geval ten aanzien van het opvolgen van de implementatie van maatregelen uit de I- Visie en de GAP analyse in het sociaal domein. De voortgang van implementatie van maatregelen met betrekking tot informatiebeveiliging wordt in een overleg tussen het CIO Office en de CISO besproken. Het is ons niet duidelijk wie de CISO rol daadwerkelijk invult. Er zijn geen verslagleggingen van deze overleggen. Bij het ambtelijk hoor en wederhoor is aangegeven dat deze rol bij een functionaris met naam en toenaam is belegd en dat deze op reguliere basis afstemming heeft met de Functionaris gegevensbescherming, de juridisch adviseur en de Security Officer. De stichting WIJeindhoven heeft een dienstverleningsovereenkomst afgesloten met de gemeente Eindhoven. Daarin worden de door de stichting te leveren dienst en de daarbij geldende randvoorwaarden gespecificeerd. Bij de oprichting van WIJeindhoven is als bijlage een opzet van de te realiseren Governance beschreven. Onderdeel daarvan is de wijze van rapporteren over de te bereiken doelen van WIJeindhoven. Deze zijn nader gespecificeerd in de met de gemeente afgesloten dienstverleningsovereenkomst. Deze managementrapportage staat nog in zijn kinderschoenen. Met de gemeente wordt gezocht naar een relevante inrichting van die rapportage. Een concretisering van relevante KPI s is onderhanden echter nog niet uitgekristalliseerd 4. Deze ontwikkeling valt enigszins buiten de scope van dit onderzoek. Tot op heden wordt door de stichting niet gerapporteerd aan de gemeente Eindhoven over informatieveiligheid en privacy in de managementrapportage. 4 Bij het hoor en wederhoor geeft WIJeindhoven aan dat de uitvoeringsovereenkomst met daarin de KPI s inmiddels is ondertekend. Dit was nog onderwerp van gesprek ten tijde van het onderzoek. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.11/26

27 3. TAKEN EN BEVOEGHEDEN Informatieveiligheid In de visie op informatieveiligheid is onderstaande figuur opgenomen. De figuur schetst de te bereiken organisatie rond het borgen van informatieveiligheid in de gemeente: De beleidsmatige rol rond informatieveiligheid is geborgd binnen het CIO office. De functionaris informatieveiligheid legt verantwoording af aan de CIO van de gemeente (tevens lid van de directieraad). De CISO valt daarmee samen met de rol van de CIO binnen de gemeente. Bij het ambtelijk hoor en wederhoor is gemeld dat CISO rol belegd is binnen het CIO office en dat de CISO verantwoording aflegt aan de CIO; er zijn dus twee verschillende rollen. Binnen de sector Sociaal domein is de DISO rol per januari 2016 niet ingevuld. Er bestaan wel plannen om in het eerste halfjaar een dergelijke functionaris binnen de formatie op te nemen. Bijlage Rekenkamerrapport Privacy en Informatieveiligheid p.12/26