Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Transcriptie

1 Bestuur Controlling Gemeente Delft bezoekadres: Stationsplein BV Delft IBAN NL21 BNGH t.n.v. gemeente Delft Retouradres : Postbus 78, 2600 ME Delft Leden van de raadscommissie R&A Behandeld door mw. H. Koenen Telefoon hkoenen@delft.n1 Internet Telefoon VERZONr":" NOV Datum Ons kenmerk uw brief van OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging Uw kenmerk Bijlage Geachte leden van de commissie, U heeft van BDO Accountants en Adviseurs het rapport Informatiebeveiliging Nederlandse gemeenten 2016 d.d. oktober 2016 ontvangen. Er is door de fractie van D66 gevraagd om een bestuurlijke reactie op dit rapport. Het rapport van BDO is gebaseerd op een onderzoek bij een aantal gemeenten waartoe Delft niet behoorde. Het rapport belicht thema's die volgens BDO belangrijk zijn. Wij onderschrijven de mening van BDO dat het voor de gemeenten urgent is om werk te maken van informatieveiligheid. We herkennen dan ook de noodzakelijke stappen om tot goede informatiebeveiliging te komen die in het rapport worden besproken. En juist omdat het zo'n belangrijk onderwerp is, spreken we regelmatig met U over informatiebeveiliging in de commissie R&A. In de commissievergadering van 25 januari komen we terug op de ervaringen van 2016 en het programma voor In het rapport van BDO worden 5 stappen genoemd voor een goede datasafetystrategie, en de uitkomsten van de steekproef weergegeven. Onderstaand wordt de situatie voor Delft met betrekking tot de 5 stappen gepresenteerd. De gevraagde reactie op de meer gedetailleerde vragen uit de steekproef is als bijlage bijgevoegd. Het verdient aanbeveling om de reactie te lezen met het rapport erbij, met name waar het gaat om de vragen uit de steekproef.

2 De aanbevelinqen op paqina 6 en 7 uit het BDO-rapport 1. Informatiebeveiliging is een mensenzaak! Het bevorderen van informatiebewustzijn is een van de speerpunten in het programma voor informatiebeveiligingsbeleid voor Er is een E- learning uitgerold voor alle medewerkers (90% deelname), er is een informatiepagina op het Intranet, er zijn cursussen gegeven en bijeenkomsten gehouden am aan de hand van actuele casussen over informatiebeveiliging en privacybescherming het gesprek te voeren. 2. Benoem een capabele security officer Delft heeft een corporate information security officer met een achtergrond in controlling die al een aantal jaren onder meer werkzaam is op het terrein van informatiebeveiliging. Deze security officer is gepositioneerd bij Concern Control, direct onder de gemeentesecretaris. Er is een escalatielijn naar gemeentesecretaris / gemeentelijk managementteam (GMT) en wethouder. Het is beter am niet alle facetten van informatiebeveiliging bij een persoon te beleggen. Daarom werkt de security officer samen met tech nisch specialisten van de afdeling IT, informatie adviseurs, juristen met een specialisatie in privacywetgeving en specifieke beveiligingsmedewerkers zoals bij Suwinet. 3. Benoem een security-commissie Voor het beoordelen van datalekken is een commissie ingesteld, te weten het team Datalekken. In dit team zitten naast de security-officer, een informatie-adviseur en 2 juristen met specialisatie privacywetgeving. In het team zelf zit geen bestuurder. Gemeentesecretaris en wethouder verantwoordelijk voor informatiebeveiliging warden altijd geinformeerd, en geraadpleegd als er wordt overwogen een melding bij de Autoriteit Persoonsgegevens (AP) te doen, evenals betrokken vakdirecteuren en vakwethouders. Zie verder de nota Implementatie Meldplicht Datalekken (toegezonden aan de commissie in december 2015). In 2016 heeft de gemeente Delft tot nu toe 4 meldingen van een datalek gedaan aan de Autoriteit Persoonsgegevens. 4. Gebruik certificering (ISO) om aan het normenkader (BIG) te voldoen Conform het vastgestelde informatiebeveiligingsbeleid wordt gewerkt aan het voldoen aan de BIG (Baseline lnformatieveiligheid Gemeenten). De BIG wordt onderdeelsgewijs geimplementeerd. Belangrijkste onderdeel dat in de komende periode zal warden uitgevoerd, is een hernieuwde classificatie van data. Certificering wordt daarbij op dit moment niet gebruikt. We kiezen een iets andere aanpak, waarbij taken zoals het opzetten van een toets op het? /F

3 normenkader en de voorbereiding en coordinatie van EDP-audits in eerste instantie worden belegd bij het gemeentelijk auditteam. 5. Sluit bewerkersovereenkomsten met stakeholders Alle organisaties die Delftse data met persoonsgegevens bewerken, zijn bij invoering van de wet Meldplicht datalekken per brief geinformeerd over hun plicht tot het spoedig melden van lekken bij de gemeente. Tevens is geinventariseerd welke bewerkersovereenkomsten er zijn en welke nog ontbreken. Deze worden alsnog afgesloten. Hoogachtend, het college van burgemeester en van Delft urgemeester M. de Prez Lb. rs. T.W. Andriessen Ls.

4 Bijlage 1 De vracien op blz. 13 Heeft uw organisatie in de afgelopen 2 jaar een privacy en/of cybersecurity incident geconstateerd? Hoe vindt constatering plaats? Ja. Beide typen incidenten worden vooral gemeld door medewerkers; zwaardere cybersecurityzaken met name door IT-medewerkers. Welke maatregelen heeft U in de afgelopen 2 jaar getroffen? Alle in het rapport genoemde maatregelen met uitzondering van DLP (Data Loss Protection). De vracien op blz.17 Heeft uw gemeente een security training en awareness-programma voor medewerkers? Ja, zie onder aanbeveling 1. Stelt uw gemeente aanvullende eisen aan medewerkers voor de borging van informatieveiligheid? Wij stellen integriteitseisen aan medewerkers die in dienst komen of extern worden ingehuurd. Externen ondertekenen hiervoor een verklaring. Medewerkers die met Suwinet (systeem om persoonsgegevens te delen in het domein Werk en Inkomen) gaan werken, tekenen daarnaast nog een specifieke verklaring. Gelden die eisen ook voor B en W en raadsleden? De regels uit het informatiebeveiligingsbeleid gelden voor iedere gebruiker van het gemeentelijk netwerk. De vracien op blz. 21 Werkt uw gemeente op het gebied van IT/Informatiebeveiliging samen met andere gemeenten? Delft werkt samen met Rijswijk in de gemeenschappelijke regeling ITbeheer Delft-Rijswijk. Voor iedere gebruiker gelden dezelfde regels. Er wordt door Delft samengewerkt in het Sociaal Donnein. De privacybescherming is hierbij een gedeelde verantwoordelijkheid van alle deelnemers. A/c

5 Gebruikt uw gemeente beveiligde digitale communicatie met ketenpartners? Ja. ledere medewerker in Delft beschikt over een beveiligde mailoptie (CryptShare). In het Sociaal Domein worden gevoelige gegevens via het Gegevensknooppunt van KING gedeeld. Sommige ketenpartners beschikken over een beveiligd portaal voor de aanlevering van gegevens. Het gebruik van de mogelijkheden voor beveiligde communicatie met de ketenpartners vergt extra aandacht en is aandachtspunt in het programma informatiebeveiliging Heeft de gemeente aanvullende stappen genomen vanwege ketenaansprakelijkheid m.b.t. de volgende wetten? Basisregistratie personen, Participatiewet, Jeugdwet, WMO. Naast eerder genoemde maatregelen, zijn er zijn geen aanvullende stappen genomen vanwege ketenaansprakelijkheid in het kader van informatiebeveiliging. De vragen op blz. 25 Heeft uw gemeente een informatiebeveiligingsbeleid geformuleerd / gemplementeerd? Ja. Dit beleid is in november 2014 besproken in de commissie R&A. Het geactualiseerde beleid inclusief het programma voor 2017 en verslag over 2016 is gepland voor de commissie van 25 januari. Heeft uw gemeente een formeel plan hoe om te gaan met cybersecurity-incidenten? Ja. Er is een procedure voor behandeling en crisiscommunicatie vastgesteld voor datalekken en andere cybersecurity-incidenten. Wie is verantwoordelijk voor de implementatie van de informatiebeveiliging? Het Gemeentelijk Management Team is verantwoordelijk, ondersteund door de CISO (corporate information security officer). /5