Verantwoordingsrichtlijn GeVS. Normenkader GeVS

Transcriptie

1 aangaande de Gezamenlijke elektronische Voorzieningen Suwi Normenkader GeVS aangaande de GeVS Auteur: Jan Breeman Datum document: 23 juni 2011 Versie: 2011 Status: Definitief Datum afdruk: 23 juni 2011

2 Aangesloten organisaties Organisatie AI Arbeidsinspectie BKWI BIBOB Bureau Keteninformatisering Werk en Inkomen Bureau BIBOB CAK C&O DUO GBD GSD IB IND IVT RMC SIOD SVB UWV Centraal Administratiekantoor Cultuur en Ondernemen Dienst Uitvoering Onderwijs Gemeentelijke Belastingdeurwaarders (Inter-)gemeentelijke en Regionale Sociale diensten Stichting Inlichtingenbureau Immigratie en naturalisatiedienst Interventieteams Regionale Meld- en Coördinatiepunt Sociale Inlichtingen en Opsporingsdienst Sociale Verzekeringsbank Uitkeringsinstituut Werk en Inkomen Tabel 1: Gegevensafnemers (bewerkers) Versie: van 67

3 Organisatie BKWI Bureau Keteninformatisering Werk en Inkomen IB Stichting Inlichtingenbureau Tabel 2: Beheerders Organisatie BKWI Bureau Keteninformatisering Werk en Inkomen DUO Dienst Uitvoering Onderwijs BPR GBA-V IB SVB UWV Stichting Inlichtingenbureau Sociale Verzekeringsbank Uitkeringsinstituut Werk en Inkomen Tabel 3: Gegevens leveranciers (verantwoordelijken) Versie: van 67

4 Inhoudsopgave Aangesloten organisaties 2 1. Managementsamenvatting 6 2. Leeswijzer Achtergrond Onderhoud van dit document 9 3. Doelstelling Risicobeheersing Betrokkenen Verantwoordelijkheden Verantwoording en transparantie Verantwoordingsverplichting vanuit de wetgeving Transparantie aangaande de informatiehuishouding Het rapportageproces Opdracht en opdrachtgever achterliggend onderzoek Eisen aan het achterliggend onderzoek Eisen aan de rapportages Achterliggend onderzoek naar de risicobeheersing Belang van het onderzoek Te gebruiken kwaliteitscriteria bij het onderzoek Afbakening object van onderzoek Beoordelen van opzet, bestaan, werking en controleerbaarheid Frequentie en diepgang van het onderzoek Eisen aan de evidence Kwaliteitseisen aangaande het achterliggend onderzoek Oordeelsvorming en weging Transparantie bij uitbesteding van ICT De rapportages Eisen aan de rapportage Jaarlijkse rapportage van de aangesloten organisaties Samenvattende Rapportage over de GeVS als geheel Openbaarmaking van de rapportages Rapportagemodellen Normenkader GeVS Uitgangspunten Normenkader GeVS 35 Versie: van 67

5 9.2. Opbouw Normenkader GeVS Niveau Normenkader GeVS De normen Woorden en begrippenlijst Literatuurlijst Wijzigingen ten aanzien van vorige versies 67 Versie: van 67

6 1. Managementsamenvatting Binnen het domein werk en inkomen vervullen de Gezamenlijke elektronische Voorzieningen Suwi (verder genoemd GeVS) een essentiële functie voor de gegevensuitwisseling tussen organisaties onderling en via het Digitaal Klantdossier (verder genoemd DKD) voor de gegevensuitwisseling naar de burger (voor zover dit de eigen gegevens betreft). Het gebruik van de GeVS, is primair gericht op de Suwi-keten (de organisaties genoemd in de Wet Suwi), daarnaast is onder voorwaarden en beperkt tot de uitvoering van wettelijke taken - het gebruik van de GeVS ook voor andere bestuursorganen toegestaan. Het niet of in onvoldoende mate functioneren van de GeVS heeft grote invloed op die delen van de bedrijfsprocessen bij de organisaties die gebruik maken van de via de GeVS beschikbare gestelde informatie. In het licht hiervan, en ook gezien de aard van de uitgewisselde informatie (privacygevoelige persoonsgegevens), dient elke op de GeVS aangesloten organisatie t.a.v. de informatiehuishouding (in relatie tot de GeVS) een gelijkwaardig niveau van betrouwbaarheid (in termen van beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) te waarborgen. De wetgever en de ketenorganisaties hebben respectievelijk in de Regeling Suwi en in de Keten Service Level Agreement, verder genoemd Keten-SLA, eisen en afspraken opgenomen die de op de GeVS aangesloten organisaties moeten naleven;; dit betreft onder andere afspraken over het op gelijkwaardig niveau - GeVS en afspraken over hoe de aangesloten organisaties invulling dienen te geven aangaande transparantie over de bescherming van de informatiehuishouding. Met deze transparantie bieden de aangesloten organisaties ter bevestiging van het onderling vertrouwen inzicht aan de registratiehouders en aan elkaar. Deze onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging (hierna te noemen: DPB) opgestelde richtlijn gaat in op de wijze waarop vorm en inhoud wordt aangesloten organisaties rapporteren. In eerste instantie is de richtlijn gericht op transparantie aangaande de GeVS, maar de richtlijn is zodanig op gesteld dat deze voor de transparantie over de gehele informatiehuishouding gebruikt kan worden gebruikt. De voorgeschreven rapportagevorm geeft eenduidig inzicht van de situaties van de afzonderlijke organisaties en biedt tegelijkertijd de mogelijkheid op evenwichtige wijze een totaaloverzicht samen te stellen over de risicobeheersing t.a.v. de GeVS. Dit totaaloverzicht wordt jaarlijks door de Security Officer van het BKWI en in overleg met de DPB opgesteld en door het management van BKWI aan de Minister van SZW en IWI uitgebracht. De Samenvattende rapportage GeVS is openbaar en wordt op de website van het BKWI gepubliceerd. In het achterliggend onderzoek voor de rapportage van de op de GeVS aangesloten organisaties beoordeelt de EDP-auditor de aangetroffen situatie in relatie tot de norm zoals deze is gedefinieerd in het Normenkader GeVS. De Verantwoordingsrichtlijn GeVS - incluis het Normenkader GeVS - dient daarom onderdeel te zijn van de opdracht aan de EDPauditor. Voor de goede orde wordt opgemerkt dat deze verantwoordingsrichtlijn gericht is op: - de interne verantwoording t.a.v. de totale interne gegevenshuishouding;; Versie: van 67

7 - de externe verantwoording of transparantie t.a.v. de informatiehuishouding aan registratiehouders en bestuurlijk verantwoordelijken. Van jaar tot jaar beoordeelt de Domeingroep Privacy en Beveiliging of accenten kunnen of moeten worden verlegd ten opzichte van de in deze verantwoordingsrichtlijn en bijlagen opgenomen uitgangspunten. Deze accenten zullen worden verwerkt tot een nieuwe versie van deze verantwoordingsrichtlijn of in een voor dat jaar geldend addendum. Het addendum moet altijd worden bezien in relatie tot de vastgestelde versie van deze richtlijn. Het tot stand komen van het addendum doorloopt het goedkeuringproces dat ook voor deze richtlijn is gevolgd. Deze verantwoordingsrichtlijn is binnen de Suwi-keten ontwikkeld en is door de Stuurgroep Keten ICT (verder genoemd: SKI) en met de instemming van het ministerie van SZW en de IWI vastgesteld. Onderhoud vindt plaats in de DPB, in afstemming met de EDP-auditors van de ketenorganisaties en de IWI. Nieuwe versies worden ter vaststelling voorgelegd aan de SKI. Versie: van 67

8 2. Leeswijzer In relatie tot het functioneren van de risicobeheersing van - de eigen delen van - de GeVS bevat deze verantwoordingsrichtlijn voor zowel het management van de aangesloten organisaties als voor de EDP-auditor de benodigde informatie voor: - - van de informatiehuishouding (hoofdstuk 5 en 7) - het uit te voeren achterliggende onderzoek bij de rapportages (hoofdstuk 6) - rapportagemodellen (hoofdstuk 8). - Het Normenkader GeVS (hoofdstuk 9. Waarbij opgemerkt dat: - voor de keten van Werk en Inkomen het afleggen van verantwoording of verstrekken van informatie in het kader van transparantie primair gericht is op de eigen delen van - de GeVS;; - per organisatie de objecten van onderzoek kunnen verschillen, afhankelijk van hun rol als afnemer, registratiehouder en/of beheerder. In deze verantwoordingsrichtlijn zijn normen en richtlijnen opgenomen voor: - de reguliere verantwoording - de rapportage in het kader van transparantie - het voor bovenstaande uitgevoerde (achterliggend) onderzoek, opdat de rapportages eenduidig en eenvormig zijn en de beoordeling gebaseerd is op uniforme weging en afspraken. Het Normenkader GeVS (hoofdstuk 9) bevat de eisen die gelden als leidraad voor het operationeel management bij het inrichten, de werking en de controleerbaarheid van de organisatorische en technische infrastructuur voor de risicobeheersing van de gegevenshuishouding Aan de hierin opgenomen normen moet de risicobeheersing t.a.v. de informatiehuishouding minimaal voldoen en elke organisatie dient deze eisen uit te werken in de vorm van maatregelen en procedures, welke passend zijn in relatie tot de door die organisatie gemaakte keuzes voor de inrichting en beheersing van de informatiehuishouding. Voor de EDP-auditor van elk van de op de GeVS aangesloten organisaties en van het BKWI vormt het Normenkader GeVS de norm waaraan wordt getoetst of opzet, bestaan, werking en controleerbaarheid van de feitelijke maatregelen voldoen aan de gestelde eisen. 2.1 Achtergrond De Regeling Suwi bevat de basis voor de verantwoording van de risicobeheersing t.a.v. de GeVS en welke nader is uitgewerkt in deze verantwoordingsrichtlijn. Deze verantwoordingsrichtlijn biedt sturing en inhoud aan de elementen die moeten leiden tot een gelijkwaardige beoordeling van de risicobeheersing t.a.v. de via de GeVS uitgewisselde gegevens voor elk van de op de GeVS aangesloten organisaties 1. Deze verantwoording is gericht op verantwoording van de besteding van publieke gelden, op transparantie en bevestiging van het onderling vertrouwen en op transparantie aan de burger. 1 Dit betreft zowel de organisaties die gegevens leveren, gegevens ontvangen, of beheertaken uitvoeren voor de GeVS. Versie: van 67

9 Deze verantwoordingsrichtlijn heeft tot doel de inhoud van het uit te voeren onderzoek ten behoeve van de jaarlijkse verantwoording nader te definiëren en een richtlijnen te geven om de uitkomsten van de afzonderlijke rapportages van de op de GeVS aangesloten organisaties te aggregeren tot een beeld van de risicobeheersing t.a.v. de GeVS als geheel Onderhoud van dit document De verdere ontwikkeling en gebruik van het Normenkader GeVS en ook de ervaringen bij het gebruik van de Verantwoordingsrichtlijn GeVS leiden tot de noodzaak om deze verantwoordingsrichtlijn en bijlagen te onderhouden. Deze verantwoordingsrichtlijn inclusief bijlagen is in beheer bij de DPB. Onderhoud vindt, in afstemming met de EDP-auditor van de ketenorganisaties en de IWI, plaats in de DPB. Gewijzigde versies worden vastgesteld door de SKI. Aanvulling- of wijzigingsvoorstellen kunnen worden ingediend bij het secretariaat van de Domeingroep op het volgende adres: BKWI T.a.v. secretariaat Domeingroep Privacy en Beveiliging Postbus BK UTRECHT Versie: van 67

10 3. Doelstelling De doelstelling van deze Verantwoordingsrichtlijn en het bijgevoegde Normenkader GeVS is de op de GeVS aangesloten organisaties een hulpmiddel verschaffen op basis waarvan zij op gelijkwaardigheid transparantie kunnen verschaffen aan de registratiehouders en bestuurlijk verantwoordelijken. De doelstelling van de risicobeheersing t.a.v. de informatiehuishouding luidt: het creëren van waarborgen ten aanzien van de kwaliteit van gegevens, bescherming van privacy en andere risicobeheersingmaatregelen binnen het Suwi-domein en de zeggenschap van elke organisatie over de eigen onderdelen van de GeVS. Voor zover de organisatie voor de risicobeheersing gebruik maakt van een Baseline (Beveiliging) en het niveau van deze baseline lager ligt dan voor de GeVS vereist, dient de organisatie aanvullende maatregelen te beschrijven en te treffen. Het realiseren van deze doelstelling heeft tot gevolg dat elke organisatie die van de GeVS gebruik maakt 2 voor de eigen delen van de Ge en controleerbaarheid) van het stelsel van maatregelen en procedures gericht op de gegevenshuishouding in relatie tot de GeVS en dient te worden bevestigd met een oordeel (van getrouwheid) van de auditor. Het ontbreken van een dergelijk oordeel over een of meerdere delen van de Suwi-keten leidt ertoe dat het inzicht in de risicobeheersing van de GeVS als totaal ontbreekt en dat geen evenwic risicobeheersing t.a.v. de Suwi-keten als geheel. 2 De grondslag voor de audit verplichting van nieuwe en recent op de GeVS aangesloten organisaties wordt in de actualisering van de verantwoordingsrichtlijn van het jaar volgend op de aansluiting opgenomen. Versie: van 67

11 Risicobeheersing Uit de eis om een zelfde niveau voor de risicobeheersing t..v. de informatiehuishouding te realiseren vloeit voort dat het Normenkader GeVS onderling is afgestemd in de daartoe ingerichte overlegorganen, te weten de DPB en de SKI en dat alle aangesloten organisaties de risicobeheersing t.a.v. de eigen delen van - de GeVS inrichten conform deze normen. Het Normenkader GeVS (hoofdstuk 9) omvat de normen (hoofdstuk 9.5) voor de uitvoering relatie tot de GeVS) en waaraan de auditor van de op de GeVS aangesloten organisaties dient te toetsen. 4.2 Betrokkenen De werkzaamheden bij deze verantwoordingsrichtlijn zijn gebaseerd op de Regeling Suwi. Deze regeling maakt onderdeel uit van de Wet Suwi. Deze wet is tot stand gekomen onder de verantwoordelijkheid van de Minister van SZW, die de (politieke) verantwoordelijkheid draagt voor de uitvoering van deze wet. Voor het toezicht op het functioneren en de naleving van de Wet Suwi maakt de Minister van SZW gebruik van de onafhankelijke, toezichthoudende werkzaamheden van IWI die toeziet op de uitvoering en naleving van deze verantwoordingsrichtlijn en hierover rapporteert aan SZW. De strategische aspecten die samenhangen met de Wet Suwi worden behandeld in de SKI. Het overleg in de SKI wordt mede gevoed vanuit diverse gemis op het tactische niveau. In alle gremia hebben medewerkers van de Suwi-organisaties en het BKWI zitting. Het voor deze verantwoordingsrichtlijn verantwoordelijke gremium op dit niveau is de DPB. Het BKWI is de ondersteunende instantie die ten dienste staat van de organisaties in de Suwi-keten. Naast het zorgen voor het tot stand komen van afspraken om de Suwi-keten te laten functioneren, is het BKWI ook verantwoordelijk voor het beheer van de GeVS: het stelsel van technische voorzieningen waarmee de op de GeVS aangesloten organisaties bij elkaar gegevens kunnen opvragen en uitwisselen. 4.3 Verantwoordelijkheden Het management van elke aangesloten organisatie is verantwoordelijk voor het functioneren en het beheer van de eigen bedrijfsprocessen en van de bijbehorende informatiehuishouding;; zowel van het functioneren als van de risicobeheersingmaatregelen daarvan. Aangaande de GeVS wordt ervan uitgegaan dat het management in een Management statement: - verslag doet van de totale informatiehuishouding (met inbegrip van de GeVS);; - van alle eventuele materiële afwijkingen binnen de informatiehuishouding (ongeacht organisatieonderdeel of systeem);; - van alle aan deze materiële afwijkingen gerelateerde risico's en -. Het management dient te borgen dat deze rapportage een juiste weergave geeft van de werkelijkheid, betrouwbaar is en adequaat en deugdelijk tot stand komt. Genoemde eigen verantwoordelijkheid leidt ertoe dat de afzonderlijke op de GeVS aangesloten organisaties voor hun bedrijfsvoering, verschillende keuze kunnen hebben Versie: van 67

12 gemaakt wat betreft organisatorische, functionele en technologische maatregelen voor de inrichting en de risicobeheersing t.a.v. de interne informatiehuishouding. Het niveau van de risicob nemen maatregelen onderling afwijken. Voor de beveiliging va de GeVS en van de gegevens die via de GeVS worden uitgewisseld en vervolgens worden verwerkt is het van belang dat alle delen ten minste voldoen aan de minimale set van wettelijk (Wbp en Wet Suwi) en ketenbreed vastgestelde eisen. Om de impact van de varia aan eisen en verplichtingen - zoals GBA en Suwi - op de organisaties te beperken maken we in dit document onderscheid tussen generieke eisen die (ook) vanuit andere kaders (kunnen) worden gesteld - en specifieke eisen die van uit de GeVS worden gesteld. Ook wordt onderscheid gemaakt tussen generieke delen van de informatiehuishouding zaken die de hele organisatie aangaat, zoals beleid, interne controle en fysieke beveiligingsmaatregelen - en specifieke delen die slechts organisatieonderdelen raken, zoals operationele taken binnen een afdeling of informatiesystemen. Versie: van 67

13 5. Verantwoording en transparantie Alle op de GeVS aangesloten organisaties leggen verantwoording af over opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures, gericht op het waarborgen van de exclusiviteit, de integriteit, de beschikbaarheid en de controleerbaarheid van alle aspecten van de gehele informatiehuishouding. Deels vloeit deze verantwoordingsverplichting voort uit wettelijke bepalingen en deels uit de aansluitvoorwaarden (overeenkomsten en ketenafspraken, zoals de Keten-SLA). In hoofdstuk 8 zijn in modellen de verantwoordingsrapportages nader uitgewerkt, zowel voor de afzonderlijke organisaties als voor het BKWI, wat betreft een samenvattende rapportage. 5.1 Verantwoordingsverplichting vanuit de wetgeving De wetgever heeft in de Regeling Suwi in de Artikel 5.22 (Verantwoording gegevensverwerking) en Artikel 6.4 (beveiliging van de GeVS) de verantwoording en het uitvoeren van het achterliggend onderzoek gedefinieerd. 5.2 Transparantie aangaande de informatiehuishouding Conform het gestelde in de Regeling Suwi moeten de Suwi-organisaties jaarlijks rapporteren aan SZW en IWI over opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures, gericht op: - het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via de GeVS;; - het waarborgen van een exclusieve, integere, beschikbare en controleerbare verwerking van de gegevens welke via de GeVS zijn uitgewisseld. De overige op de GeVS aangesloten organisaties zijn hieraan gehouden op basis van het Aansluitprotocol (Bijlagen 1 en 3 bij de Regeling Suwi) en de Keten-SLA GeVS. Int deze Verantwoordingsrichtlijn is deze verplichting vertaald naar een generiek instrument waarmee organisaties in het kader van transparantie inzicht kunnen geven in de eigen informatiehuishouding. In hoofdstuk 5.4 van dit document wordt de opdracht tot de jaarlijkse rapportage en het achterliggend onderzoek nader toegelicht. Aangezien de op de GeVS aangesloten organisaties de controle van de informatiehuishouding door verschillende, zowel interne als externe (audit-)organisaties kunnen laten uit voeren, is voor de GeVS verplicht gesteld dat de jaarlijkse rapportage moet zijn vergezeld van [op basis van een door deze persoon uitgevoerd achterliggend onderzoek] oordeel van getrouwheid [dat de verklaring van het management in het jaarverslag correspondeert met het onderzoek] of een oordeel van de risicobeheersing t.a.v. een tot de Nederlandse Orde van Register EDP-Auditor toegelaten persoon of van een verklaring van getrouwheid uitgevoerd door voornoemde persoon. Voor het [achterliggend] onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding zijn afspraken gemaakt over: - de doelstelling van het onderzoek;; - de afbakening van het object het onderzoek;; Versie: van 67

14 - de mate van zekerheid dat het oordeel moet bieden;; - de frequentie en de diepgang van het onderzoek;; - de weging van afwijkingen;; - het te gebruiken normenkader;; - de vorm en inhoud van het oordeel en de bijbehorende rapportage. De hiervoor genoemde elementen zijn in deze verantwoordingsrichtlijn uitgewerkt. Aangezien de auditor bij een onderzoek toetst aan normen en omdat het in de situatie van de risicobeheersing t.a.v. de informatiehuishouding belangrijk is dat sprake is van een gelijkwaardig oordeel, dient de auditor van elke op de GeVS aangesloten organisatie zich te baseren op hetzelfde normenkader, te weten het Normenkader GeVS. De publieke versies van de rapportages van de afzonderlijke organisaties vormen de basis voor de door de Security Officer van het BKWI - en in overleg met de DPB - uit te brengen van SZW en de IWI, voor de registratiehouders van wie de organisaties gegevens ontvangen en ter transparantie voor alle aangesloten organisaties. 5.3 Het rapportageproces De afzonderlijke op de GeVS aangesloten organisaties kunnen op basis van afwegingen van elkaar afwijkende keuzes hebben gemaakt wat betreft organisatorische, functionele en technologische maatregelen voor de inrichting en de risicobeheersing t.a.v. de informatiehuishouding. Daarbij hebben zij veelal te maken met meerdere verantwoordingsregimes, waarbij de inrichtings- en verantwoordingsverplichtingen een aanzienlijke druk leggen op deze organisaties, zowel financieel als ook organisatorisch. Voor de verantwoording van de risicobeheersing t.a.v. de informatiehuishouding kunnen organisaties gebruik maken van verschillende instrumenten, zoals: - (self-)assessment en interne audits - EDP-audit van een NORDEA geregistreerde EDP-auditor - een SAS70 verklaring - een TPM verklaring - een ISO (of andere) certificering Elk van deze instrumenten toont een eigen beeld van de bescherming van de informatiehuishouding. Reikwijdte en diepgang zijn echter niet per definitie gelijk aan elkaar en ook de eisen (het normenkader) kunnen van elkaar afwijken. Aangaande de verantwoording willen we rekening houden met de inrichtings- en verantwoordingsverplichtingen van de afzonderlijke organisaties en de bijkomende inspanningsverplichtingen zoveel mogelijk te beperken zonder dat dit het niveau van de bescherming negatief beïnvloedt. Waar mogelijk wordt aansluiting gezocht bij bestaande en generieke instrumenten. Bij de inrichting en de verantwoording van de informatiehuishouding gaat het steevast om - het voor willekeurig welke registratiehouder voldoende waarborg moet zijn dat hun gegevens niet op straat komen te liggen. - het voor elke verwerkende organisatie voldoende waarborg moet zijn dat de ontvangen gegevens betrouwbaar en op tijd beschikbaar zijn. - de afwegingen van de houders van de registraties, zoals GBA, RDW en Polis en van de GeVS, onderling niet veel afwijkingen vertonen. Versie: van 67

15 Bij het samenstellen van deze verantwoordingsrichtlijn is er van uitgegaan dat de uitwerking organisatie- en maatregelonafhankelijk wordt geformuleerd opdat ook eventuele nieuwe op de GeVS aangesloten organisaties de richtlijn en normen kunnen toepassen. 5.4 Opdracht en opdrachtgever achterliggend onderzoek De opdracht voor het uitvoeren van het onderzoek naar de informatiehuishouding 3 wordt verstrekt door de verantwoordelijken van de aangesloten organisaties, te weten: directie, Raden van Bestuur en Burgemeester en Wethouders. Deze verantwoordingsrichtlijn met de bijlagen moet een integraal onderdeel uitmaken van de opdrachtverstrekking aan de auditor, ook ingeval van uitbesteding (van een deel) van de werkzaamheden van het onderzoek. Indien wenselijk, kunnen de uitgangspunten voor de rapportage en het achterliggende onderzoek jaarlijks worden bijgesteld. Deze bijstelling wordt door de SKI bekrachtigd. 5.5 Eisen aan het achterliggend onderzoek In dit hoofdstuk worden de eisen en normen beschreven waaraan de auditor zich dient te houden bij de uitvoering van het onderzoek naar de informatiehuishouding (in relatie tot de GeVS). Dit is nader uitgewerkt in hoofdstuk Eisen aan de rapportages De delen van dit normenkader die bij een op de GeVS aangesloten organisatie niet van toepassing zijn worden buiten het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding gehouden. In een toelichting moet worden gemotiveerd welke delen dit betreft. Het niet van toepassing verklaren van delen van dit normenkader mag uitsluitend zijn gebaseerd op het niet vervullen van bepaalde functies van de GeVS, andere motieven (zoals schaalgrootte van een organisatie) zijn geen geldig motief, omdat daarmee het beveiligingsniveau van de GeVS als geheel in het geding kan komen. Het Normenkader GeVS is opgenomen als hoofdstuk De verplichting tot verantwoording als bedoeld in Artikel 5.22 en Artikel 6.4 Regeling Suwi is in deze verantwoordingsrichtlijn uitgebreid tot verantwoording over de informatiehuishouding. Versie: van 67

16 6. Achterliggend onderzoek naar de risicobeheersing Voor de uitvoering van het onderzoek naar de risicobeheersing t.a.v. de informatiehuishouding zal aan de auditor toereikende informatie moeten worden verstrekt, om in voldoende mate vast te kunnen stellen dat de risicobeheersing t.a.v. de informatiehuishouding voldoet aan de geformuleerde kwaliteitscriteria. De uitspraak aangaande de risicobeheersing t.a.v. de informatiehuishouding omvat opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de risicobeheersing t.a.v. de informatiehuishouding. Deze voor bepaalde informatievoorzieningen vereiste verantwoording moet hetzij onderdeel zijn van het integrale onderzoek naar de risicobeheersing t.a.v. de gehele informatiehuishouding van organisatie of anders separaat worden onderzocht. De reikwijdte voor de jaarlijkse rapportage en het onderzoek omvat de informatiehuishouding in relatie tot de GeVS. Uitgangspunt is dat een organisatie met een enkelvoudig onderzoek moet kunnen voldoen aan de varia van opgelegde rapportageverplichtingen en dat organisaties niet gedwongen worden tot weer een separaat onderzoek om aan de Suwi verplichtingen te voldoen. In overleg met IWI en het ministerie van SZW is de volgende reikwijdte voor het onderzoek naar de risicobeheersing t.a.v. de gegevensuitwisseling via de GeVS vastgesteld: De rapportage en het achterliggend onderzoek van de EDP-auditor omvat opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de risicobeheersing t.a.v. de informatiehuishouding in relatie tot de GeVS. 6.1 Belang van het onderzoek De eis tot het uitvoeren van een onderzoek die leidt tot het kunnen doen van een uitspraak met een redelijke mate van zekerheid is gebaseerd op de volgende omstandigheden: - De aard van de gegevens Uit de toelichting op de Regeling Suwi blijkt dat een analyse is gemaakt van de gegevens die worden uitgewisseld de GeVS, welke heeft geleid tot de conclusie dat sprake is van het verwerken van persoonsgegevens die vallen onder de risicoklassen I (verhoogd risico) en in concrete gevallen zelfs onder risicoklasse III (hoog risico). Deze Achtergrond en Verkenningen 23, in april 2001 uitgegeven door het CBP. Het in verkeerde handen vallen van de uitgewisselde gegevens kan ernstige gevolgen hebben, zelfs leiden tot lichamelijk letsel of de dood tot gevolg hebbend. - Het maatschappelijke belang van de processen De gegevens die via de GeVS worden uitgewisseld vormen de invoer voor processen die leiden naar werk of naar het toekennen en uitbetalen van uitkeringen. Het niet tijdig en correct uitwisselen of verwerken van gegevens kan leiden tot voor de maatschappij onacceptabele gevolgen. - Het juridische belang van de procedure Het niet of niet tijdig voldoen aan de wettelijke vereisten kan bij de op de GeVS aangesloten organisaties leiden tot een aansprakelijkheidsstelling door de benadeelde. - Het politieke belang Het niet of niet juist en tijdig functioneren van de uitkeringsprocessen kan leiden tot de situatie dat de Minister van SZW ter verantwoording wordt geroepen door de Tweede Kamer van de Staten-Generaal. Versie: van 67

17 - De gevolgen van de processen voor de bedrijfsvoering De bedrijfsvoering van de op de GeVS aangesloten organisaties is in hoge mate geautomatiseerd. Uitval van de GeVS leidt tot stagnatie in de bedrijfsprocessen en het niet kunnen functioneren van een groot aantal medewerkers, dit kan onder meer leiden tot het niet tijdig verstrekken van (politiek) gevoelige informatie. 6.2 Te gebruiken kwaliteitscriteria bij het onderzoek Voor het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding wordt het volgende samenstel van kwaliteitscriteria en de betekenis daarvan gebruikt: - beschikbaarheid (continuïteit): De mate waarin de bedrijfsprocessen en bijbehorende informatiehuishouding ongestoord voortgang kunnen vinden. - integriteit (volledigheid, juistheid, tijdigheid): De mate waarin de informatiehuishouding zonder fouten is. - vertrouwelijkheid (exclusiviteit): De mate waarin de toegang tot de informatiehuishouding en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. - controleerbaarheid: De mate waarin de beschikbaarheid, integriteit en vertrouwelijkheid [in dit geval van de informatiehuishouding] worden vastgesteld Afbakening object van onderzoek De reikwijdte van het onderzoek is het beoordelen van opzet, bestaan, werking en controleerbaarheid van de maatregelen en procedures gericht op de risicobeheersing t.a.v. de informatiehuishouding en voor zover relevant voor de Suwi-keten - in relatie tot via de GeVS Beoordelen van opzet, bestaan, werking en controleerbaarheid De auditor dient bij het onderzoek opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures die onder het onderzoeksobject vallen te beoordelen. Bij de op de GeVS aangesloten organisaties wordt de risicobeheersing t.a.v. de informatiehuishouding beoordeeld. In dit verband wordt verstaan onder: - de opzet Dit begrip omvat de formele inrichting en beschrijving van de wijze waarop de organisatie de (bedrijf)processen wil gaan uitvoeren. Veelal treft de auditor de opzet aan in handboeken, beleidsplannen, architectuurbeschrijvingen, etc. - het bestaan Dit begrip omvat de wijze waarop het stelsel van processen en maatregelen daadwerkelijk in de organisatie zijn geïmplementeerd. Deze situatie kan afwijken van wat in de aanwezige beschrijvingen en plannen (de opzet) is vermeld. Bij het beoordelen van het bestaan moet worden aangetoond dat de opzet minimaal een keer heeft gefunctioneerd. - de werking Dit begrip omvat het bestaan en functioneren van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd. Bij de op de GeVS aangesloten organisaties wordt de werking beoordeeld van de informatiehuishouding beoordeeld gedurende een jaar. - de controleerbaarheid Versie: van 67

18 Dit begrip omvat het gemak waarmee de juistheid en de volledigheid van de informatie (in het verloop van de tijd) gecontroleerd kunnen worden. De opzet wordt veelal beoordeeld tijdens de ontwerpfase, het bestaan tijdens de implementatiefase, de werking, en de controleerbaarheid tijdens de uitvoering van de processen. De controle op de werking wordt periodiek (veelal jaarlijks) uitgevoerd. Hierbij wordt eerst beoordeeld of opzet en bestaan ten opzichte van het voorgaande jaar zijn gewijzigd. Het vaststellen van de werking vereist dat gedurende de controleperiode bij de op de GeVS aangesloten organisatie wordt nagegaan of de maatregelen en procedures worden nageleefd. De wijze waarop deze controle wordt ingericht en de frequentie waarmee die wordt uitgevoerd, worden door de auditor uitgewerkt in het controleplan. Ten aanzien van een aantal normen kunnen in een addendum richtlijnen gegeven worden, hoe de werking van deze normen kan worden getoetst Frequentie en diepgang van het onderzoek De op de GeVS aangesloten organisaties leggen jaarlijks ter transparantie verantwoording af. Deze jaarlijkse rapportage en het daarbij horende achterliggend onderzoek door de auditor moet betrekking hebben op opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures ter bescherming van de informatiehuishouding en in relatie tot de GeVS. De auditor moet toereikende informatie verkrijgen zodat met redelijke mate van zekerheid geconcludeerd kan worden dat de informatiehuishouding in alle van materieel belang zijnde opzichten voldoet aan de kwaliteitscriteria, te weten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid Eisen aan de evidence Onderstaande tabel geeft de waarden weer van het aantal steekproeven, cq. aantal stuks evidence in relatie tot de frequentie van getroffen beheersmaatregelen. Deze waarden kunnen per auditor verschillen, maar gelden als gangbaar. Let wel: Deze grootte geldt als minimum eis. Daar waar de auditor niet of onvoldoende zekerheid kan vinden dat de informatiehuishouding afdoende is beschermd, kan deze de steekproef uitbreiden en aanvullende evidence vragen. Frequentie van de Grootte van de steekproef beheersmaatregel Jaarlijks 1 Kwartaal 2 Maandelijks 3 Wekelijks 10 Dagelijks 30 Meerdere keren per dag 45 Geautomatiseerd 1 Tabel 4: Overzicht groottes van steekproeven 6.7. Kwaliteitseisen aangaande het achterliggend onderzoek Het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding moet plaatsvinden op een zodanige wijze dat de uitspraak in het oordeel een redelijke mate van zekerheid biedt dat in alle van materieel belang zijnde opzichten is voldaan aan de kwaliteitscriteria. Dit uitgangspunt, in combinatie met het feit dat het onderzoek inzake de informatiehuishouding door verschillende auditors en (audit-)organisaties wordt uitgevoerd, Versie: van 67

19 is aanleiding voor het op hoofdlijnen vastleggen van een aantal uitgangspunten waarmee bij het uitvoeren van het onderzoek rekening moet worden gehouden. De invulling van het onderzoek in de concrete situatie de afzonderlijke op de GeVS aangesloten organisaties is niet uitgewerkt. De aanpak van het onderzoek dient door de auditor te worden uitgewerkt in het controleplan en werkprogramma die aansluiten op de verstrekte opdracht. De auditor moet bij het verrichten van het onderzoek rekening houden met de volgende uitgangspunten: - de EDP-auditor is ingeschreven als RE. Daaruit vloeit voort dat het Reglement Gedrags- en Beroepsregels voor de Register EDP-auditor (GBRE) van toepassing is;; - de richtlijnen in het kader van de attestfunctie zijn van toepassing (opdrachtformulering en aanvaarding;; dossiervorming en beheer;; rapportage);; - het onderzoek inzake de informatiehuishouding beperkt zich tot datgene wat in de opdracht beschreven staat en deze opdracht omvat minimaal deze verantwoordingsrichtlijn en het Normenkader GeVS 4. De opdracht van de auditor voor het beoordelen van de beheersing van de informatiehuishouding omvat het beoordelen van opzet, bestaan, werking en controleerbaarheid brengt tot uitdrukking dat de getroffen maatregelen en procedures moeten worden bezien in hun onderlinge samenhang. De auditor stelt een plan op waarin voor opzet en reikwijdte van het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding wordt gemotiveerd welke systemen, procedures, etc. worden betrokken in het onderzoek. In dit controleplan moet ook een analyse met motivering zijn opgenomen over de frequentie van het onderzoek. Het is de taak van de auditor om vast te stellen dat opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen zodanig van structuur en samenstelling is dat aan de normen die zijn gedefinieerd in het Normenkader GeVS wordt voldaan. Het onderzoek kan slechts leiden tot het signaleren van structurele inbreuken op het stelsel van maatregelen en procedures en niet van incidentele afwijkingen. Tijdens de uitvoering van het onderzoek kan de auditor constateren dat er geen of onvoldoende informatie kan worden verkregen, waardoor niet of in onvoldoende mate kan worden vastgesteld dat (een deel van) de informatiehuishouding voldoet aan de geformuleerde kwaliteitscriteria. De oorzaak voor deze constatering kan zijn gelegen in: - Een objectieve verhindering, dat wil zeggen een situatie die niet in positieve zin kan worden beïnvloed door de opdrachtgever. De auditor moet deze verhindering, mits van materieel belang, gemotiveerd in het oordeel tot uitdrukking brengen. (Een voorbeeld van een objectieve verhindering is het niet voldoen aan het criterium beschikbaarheid als gevolg van het onverwachte faillissement van een als gegoed bekend staande leverancier van diensten.) 4 Eventueel kan de EDP-audit Beveiliging Suwinet gecombineerd worden met andere EDP-audits, mits hierbij deze Verantwoordingsrichtlijn en het Normenkader van de elektronische voorzieningen Suwi onverminderd wordt gebruikt. Versie: van 67

20 - Een subjectieve verhindering, dat wil zeggen een situatie die wel in positieve zin kan worden beïnvloed door de opdrachtgever. De auditor constateert bijvoorbeeld dat de werking (voor een deel) van het audit-object niet voldoet aan het criterium controleerbaarheid. Bij materieel van belang zijnde elementen in het stelsel van n voorbeeld van een subjectieve verhindering is het gebrek aan, of het handhaven van, voldoende functiescheiding.) 6.8. Oordeelsvorming en weging Het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding wordt bij de verschillende op de GeVS aangesloten organisaties door verschillende auditors uitgevoerd. Met behoud van organisatiespecifieke aspecten is onderstaande richtlijn voor de oordeelsvorming door de auditor opgesteld om zoveel mogelijk te komen tot een gelijkwaardige oordeelsvorming bij gelijksoortige omstandigheden. Algemene uitgangspunten - Het management legt jaarlijks verantwoording af over de mate waarin de informatiehuishouding voldoet aan getelde eisen. - Het management legt slechts verantwoording af voor die zaken waar zij verantwoordelijk voor is. - De beoordeling van de auditor t.a.v. het onderzoek - over opzet, bestaan, werking, controleerbaarheid van het stelsel van maatregelen en procedures gericht op de risicobeheersing t.a.v. de informatiehuishouding - betreft een volkomen oordeel. Dat wil zeggen dat alle materieel van belang zijnde bedrijfsprocessen en bijbehorende informatiehuishouding (ondersteunende processen en componenten) in de controle moeten worden betrokken. - Het oordeel van getrouwheid van de auditor over de verantwoording door het management aangaande de risicobeheersing t.a.v. de informatiehuishouding betreft opzet, bestaan, werking en controleerbaarheid van het stelsel van maatregelen en procedures gericht op de risicobeheersing t.a.v. de informatiehuishouding en met name gericht op de GeVS en is een volkomen oordeel. Dat wil zeggen dat alle materieel van belang zijnde bedrijfsprocessen en bijbehorende informatiehuishouding (ondersteunende processen en componenten) in de controle moeten worden betrokken. - De uitspraak van zowel het management en de auditor - over opzet, bestaan, werking en controleerbaarheid van de beschikbaarheid van het stelsel van maatregelen en procedures - houdt mede in, dat mag worden verwacht dat de beschikbaarheid het komende jaar is gewaarborgd. - De uitspraak van zowel het management en de auditor zijn gebaseerd op een deugdelijke grondslag. Met andere woorden er is voldoende bewijs verzameld om de bevindingen waarop het eindoordeel is gebaseerd te onderbouwen - De uitspraak van zowel het management en de auditor schept een verwachting die op basis van het verrichte onderzoek gerechtvaardigd is. Met andere woorden het geeft de lezers van de verantwoordingsrapportage een duidelijk beeld over de status van de informatiehuishouding en over de hiervoor getroffen maatregelen en procedures. - Bij de beoordeling weegt de auditor de consequenties van alle bevindingen die bij het onderzoek naar voren zijn gekomen. Naast de aard en ernst van de bevindingen en de op grond daarvan getrokken conclusies, wordt in dit afwegingsproces ook rekening gehouden met het gebruik van het oordeel en de hoge mate van zekerheid dat aan het oordeel ontleend mag worden. De auditor maakt hiervoor gebruik van zijn professional rudiment. Versie: van 67

21 - Een oordeel van de auditor is een kwalitatief oordeel in hoeverre het onderzoeksobject voldoet aan de normen;; de relatie met het proces/product waarin het onderzoeksobject speelt is daarbij van belang. Als het onderzoeksobject niet of slechts ten dele aan de gestelde eisen voldoet, moet worden nagegaan welke invloed dit heeft op het betreffende proces of product. - Het Ketenoverleg stelt - op advies van de Domeingroep Privacy en Beveiliging vast of en in hoeverre (delen van) de informatiehuishouding gedeeltelijk roulerend in de controle worden betrokken. Deze vaststelling vindt plaats in het jaar voorafgaand aan het verantwoordingsjaar en moet in de opdracht worden benoemd. Specifieke uitgangspunten - De auditor voert het onderzoek inzake de informatiehuishouding uit op basis van het Normenkader GeVS dat door de SKI is vastgesteld. - Jaarlijks zal voor zover daar aanleiding voor is - een addendum worden voorgelegd aan de SKI met specifieke uitgangspunten aangaande de verantwoording van de risicobeheersing t.a.v. de informatiehuishouding voor dat betreffende verantwoordingsjaar. - Bij het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding geeft de auditor één totaaloordeel over de risicobeheersing t.a.v. de informatiehuishouding, waar alle vier de kwaliteitsaspecten (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) onder vallen. Het oordeel zal niet naar afzonderlijke kwaliteitsaspecten worden verbijzonderd. In de toelichting op het oordeel zal de auditor op basis van de uitkomst van het onderzoek risico s signaleren. Bij het formuleren van - Het oordeel van de auditor inzake de risicobeheersing t.a.v. de informatiehuishouding kan drie verschillende strekkingen hebben: van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel at dan sprake is van - Het onderzoek inzake de risicobeheersing t.a.v. de informatiehuishouding op grond van Artikel 6.4 Regeling Suwi kan binnen de op de GeVS aangesloten organisaties veelal worden uitgevoerd in combinatie met het onderzoek naar de gegevensverwerking op grond van Artikel 5.22 Regeling Suwi of met een integraal onderzoek inzake de beveiliging bij van die organisatie. De uitkomsten van de onderzoeken kunnen voor beide opdrachten worden aangewend onder voorwaarde dat: Het onderzoek leidt tot een aparte, zelfstandig leesbare rapportage. Het oordeel over de risicobeheersing t.a.v. de informatiehuishouding kan worden herkend uit de resultaten van het algemene onderzoek. Wanneer het stelsel van maatregelen niet voldoet aan de norm of voldoet met uitzondering van een niet-materieel kwaliteitsaspect of met uitzondering van een niet-materieel onderdeel van het onderzoeksobject, zal het management in bewuste paragraaf in de managementstatement aangeven ten aanzien van welke normen en in welke mate een afwijking is geconstateerd. Bij deze motivering dient het noodzakelijk geachte inzicht geen afbreuk te doen aan het eventueel vertrouwelijke karakter van de oorzaak van de afwijking. In deze verantwoordingsrichtlijn zijn modellen opgenomen voor de verschillende typen op de GeVS aangesloten organisaties. Deze modellen zijn opgenomen in hoofdstuk 8 Versie: van 67

22 De gebruikte modellen zijn grotendeels gebaseerd op de NOREA-handreiking 5 van gekwalificeerde EDP- Van de totale normenset uit het Normenkader GeVS zijn een aantal normen als van essentieel belang gekenmerkt voor de risicobeheersing t.a.v. de informatiehuishouding. Deze essentiële normen zijn in het Normenkader GeVS (hoofdstuk 9.5) met een E gemarkeerd. De normen die als essentieel worden gezien voor de risicobeheersing t.a.v. de informatiehuishouding zijn voor de auditor normen waar in ieder geval aan voldaan moet worden. Aangezien de auditor zich uitspreekt over het geheel van de normen, geeft de t de bevindingen van alle als essentieel onderkende normen blijkt dat voldaan wordt aan de norm en bovendien eventuele afwijkingen in de overige normen niet materieel zijn. Of een afwijking in de overige normen materieel is, wordt afgewogen vanuit het professional judgment van de auditor. In de praktijk kan het dus voorkomen dat voor de op de GeVS aangesloten organisatie, ondanks het feit dat voldaan wordt aan alle essentiële uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet- afwijkingen worden geconstateerd. gegeven wanneer sprake is van een of meer materiële tekortkomingen. van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel Bevindingen ten aanzien van de normen die niet materieel van aard zijn kunnen leiden tot het aanbrengen van een uitzondering in positieve strekking van het oordeel. niet-materieel onderdeel van het onderzoeksobject of een niet-materi mag volgens de NOREA-handreiking alleen worden gegeven wanneer de geconstateerde afwijking van de norm niet materieel is. Het is vooraf niet goed mogelijk om strikt voor te schrijven wanneer dit oordeel wordt gegeven, ook hier wordt gesteund op het professional judgment van de auditor. Wanneer is sprake van materieel belang: De vraag of een afwijking van materieel belang is hangt af van de volgende aspecten: - de ernst van de geconstateerde afwijking;; - de relatie van de afwijking met de risicobeheersing t.a.v. de informatiehuishouding (essentieel of minder van belang);; - de attitude van de organisatie ten aanzien van de risicobeheersing t.a.v. de informatiehuishouding (wordt het probleem onderkend);; - de actiebereidheid van de organisatie om de afwijking op korte termijn aan te pakken (zijn er concrete acties gepland of acties reeds in gang gezet maar nog niet afgerond om het probleem op te lossen);; 5 NOREA: Beroepsvereniging van Register EDP-auditors Versie: van 67

23 - de aard van het proces van de GeVS en van de verwerkte gegevens;; - het betrouwbaarheidsniveau van de functie;; - het gemeenschappelijke belang bij en verantwoordelijkheid voor de informatiehuishouding in relatie tot de GeVS Transparantie bij uitbesteding van ICT Een op de GeVS aangesloten organisatie kan om haar moverende redenen overgaan tot uitbesteding van (een deel van) de activiteiten die betrekking hebben op de informatiehuishouding de GeVS. Doorgaans betreft dit ICT-activiteiten, maar steeds vaker worden ook (al dan niet primaire) werkprocessen uitbesteed of in gezamenlijkheid uitgevoerd. In de situatie van uitbesteding van diensten moet de op de GeVS aangesloten organisatie de inhoud van deze verantwoordingsrichtlijn met bijlagen - beperkt tot de normen die voor deze afgesproken diensten relevant zijn - onverkort van toepassing verklaren op de uitbesteding (zie essentiële norm 4.2). De controle op de naleving van de afspraken door de ICT-leverancier vindt plaats door de op de GeVS aangesloten organisatie;; dit is gedefinieerd in de essentiële norm 4.3. De op de GeVS aangesloten organisatie vult invulling en uitwerking van de relevante set van de gemaakte afspraken. Zij kan deze controle op verschillende manieren laten plaatsvinden, zoals blijkt uit de richtinggevende accenten bij essentiële norm 4.3. Zij kan bijvoorbeeld controle uitvoeren door middel van een leveranciersoverleg, het beoordelen van aangereikte rapportages (onder andere rapportages over geleverd dienstenniveau en incidentenrapportages), de uitkomsten van interne controle van kwaliteitsprocessen en ook door middel van audits. De twee bekendste vormen van audits zijn het zelf bij de ICT-leverancier (laten) uitvoeren van een onderzoek of het door de ICT-leverancier afgeven van een TPM (Third Party Mededeling). De beoordeling van de uitbestede diensten maakt integraal onderdeel uit van de beoordeling van de risicobeheersing t.a.v. de informatiehuishouding als geheel. Voor de uitbesteding wordt aangesloten bij hetgeen is opgenomen in hoofdstuk 6.9 In geen van de normen mag een materiële afwijking voorkomen. De beoordeling van het realiseren van de normen door leverancier van diensten moet onder andere worden gebaseerd op de set van controlemaatregelen die door de op de GeVS aangesloten organisatie met deze leverancier zijn overeengekomen en die genoemd zijn bij norm 4.3. Cruciaal hierbij is dat de inzet van de genoemde controlemiddelen de auditor voldoende zekerheid biedt over de effectiviteit van de maatregelen om een oordeel, gebaseerd op een deugdelijke grondslag, af te kunnen geven. Versie: van 67

24 7. De rapportages 7.1 Eisen aan de rapportage In de Regeling Suwi zijn eisen gesteld aan de beveiliging van de GeVS en aan de jaarlijkse verantwoording aangaande de uitwisseling en verwerking van de via de GeVS uitgewisselde gegevens (Art. 5.22, Art. 6.4, Bijlage I en Bijlage III). De eis aangaande verantwoording leidt, conform deze Verantwoordingsrichtlijn, jaarlijks tot de volgende rapportagevormen: De rapportage van de op de GeVS aangesloten organisaties en het BKWI voor zover daartoe wettelijk verplicht - aan de Minister van SZW en IWI. Deze rapportage moet worden vergezeld van een oordeel van getrouwheid en rapport van bevindingen van een register EDP-auditor. De rapportage van de op de GeVS aangesloten organisaties aan de Security Officer van het BKWI 6. samengesteld op basis van de publieke rapportages van de verschillende aangesloten organisaties en in overleg met de DPB, aan de Minister van SZW en de IWI. De jaarlijkse rapportage van een organisatie geldt als publieke versie tenzij de organisatie besluit een aparte publieke versie samen te stellen en beschikbaar te stellen. De componenten in de publieke versie dienen overeen te komen met de componenten in de jaarlijkse rapportage. Naast de hiervoor genoemde rapportages kunnen afspraken met het management of de uitkomst van het onderzoek aanleiding zijn voor andere vormen van (tussen)rapportages. Deze andere vormen worden in deze richtlijn niet behandeld. 7.2 Jaarlijkse rapportage van de aangesloten organisaties De op de GeVS aangesloten organisaties rapporteren jaarlijks voor 1 maart op grond van Artikelen 5.22 en 6.4 Regeling Suwi over opzet, bestaan, werking en controleerbaarheid van de risicobeheersing t.a.v. de informatiehuishouding. Het staat organisaties vrij dat het management zelf aflegt en in haar rapportage het oordeel en de bevindingen van de auditor op te nemen, dan wel de verantwoording door het management en de rapportage van de auditor in afzonderlijke rapporten op te nemen. Essentieel is dat betrokkenen aan de hand van de jaarlijkse rapportage een duidelijk en niet voor interpretatie vatbaar gemeenschappelijk beeld krijgen over de uitkomsten van het onderzoek dat door de auditor is verricht. De auditor stelt de rapportage op volgens de in deze verantwoordingsrichtlijn gestelde eisen (toetsingsnormen, oordeelsvorming volgens rapportage-eisen benoemd in deze paragraaf en volgens het bij de organisatie passende model, conform hoofdstuk 8). De rapportage van de auditor bevat tenminste de volgende onderwerpen: Inleiding met definiëring doelstelling, onderzoeksobject met begrenzing en de werkwijze volgens het bij de organisatie passende model (Afnemer/Beheerder). Rapportage - op basis van onderzoek - van de auditor conform de inhoud en lay-out van het bij de organisatie passende model (Afnemer/Beheerder). Toelichting op het oordeel van de auditor conform de inhoud en lay-out van het bij de organisatie passende model (Afnemer/Beheerder). Deze toelichting bevat een tabel waarin de auditor per aandachtsgebied de bevindingen toelicht over de mate waarin de getroffen maatregelen en procedures zijn 6 De rapportage aan het BKWI heeft een tweeledig doel;; enerzijds om de Security Officer van het BKWI in staat te stellen aan de wettelijke verplichting te voldoen tot het jaarlijks samenstellen van een totaaloverzicht van de risicobeheersing aangaande de GeVS en daarnaast de registratiehouders via dit totaaloverzicht te informeren over de risicobeheersing aangaande de GeVS als totaal. Versie: van 67