Informatiebeveiligingsbeleid Suwinet 2016

Transcriptie

1 Informatiebeveiligingsbeleid Suwinet

2 Inhoud 1 Inleiding Beleidsuitgangspunten Doel en scope informatiebeveiligingsbeleid Reikwijdte Suwinet beleid Omgeving Uitgangspunten Kader voor de beveiliging van Suwinet Gebruikers van Suwinet Gebruik Suwinet-Inkijk De volgende functies zijn geautoriseerd om gebruik te maken van Suwinet-Inkijk: Specifieke maatregelen Suwinet Beveiligingseisen ten aanzien van personeel Werving en selectie Aandacht voor informatiebeveiliging bij indiensttreding Training voor gebruikers Meldingsplicht Clear en Clean Desk Policy Logische Toegangsbeveiliging Beleid ten aanzien van logische toegangsbeveiliging Management van toegangsrechten / autorisatiebeheer Registratie van gebruikers Toegang tot netwerk(diensten) Toegang tot werkstations Werkstations in publieke ruimtes Toegang tot informatiesystemen Controle op toegangsrechten Gebruik van (controle)hulpmiddelen Toegang van derden bij uitbestede diensten Logging en rapportages Gedragsregels gebruik Suwinet Verantwoording Bijlage 1 Gedragsregels Suwinet-Inkijk

3 1 Inleiding Bureau Keteninformatisering werk en inkomen (BKWI), het Inlichtingenbureau (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), de Belastingdienst, de Dienst Uitvoering Onderwijs (DUO), de Kamer van Koophandel (KVK), de Rijksdienst voor identiteitsgegevens, de Rijksdienst voor het wegverkeer (RDW) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit Suwinet-Inkijk worden gegevens op basis van Burger Service Nummers (BSN) toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Om de SUWI keten effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat "hun" gegevens door de partners in de Suwiketen op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. In dit Suwinet Informatiebeveiligingsbeleid zal eerst het kader voor de beveiliging geschetst worden. Vervolgens wordt ingegaan op de bevoegdheden van gebruikers en aangegeven in welke situaties Suwinet gebruikt mag worden. Verder wordt er een aantal gedragsregels gegeven waar medewerkers zich aan dienen te houden bij het gebruik van gegevens uit Suwinet. 3

4 2 Beleidsuitgangspunten Het Suwinet Informatiebeveiligingsbeleid is gericht op het gebruik van Suwinet t.b.v.de uitvoering van het proces Werk en Inkomen door de rve s Werk, Participatie en Inkomen van cluster Sociaal, gemeente Amsterdam. De gemeente Amsterdam hanteert een aantal belangrijke uitgangspunten in haar informatiebeveiligingsbeleid. De principes in dit hoofdstuk dienen ook buiten de beschreven maatregelen toegepast te worden. 2.1 Doel en scope informatiebeveiligingsbeleid Informatiebeveiliging is het geheel van maatregelen, procedures en processen die de waarde van informatie beschermen voor de gemeente Amsterdam. De informatiebeveiliging dient de volgende waarden van informatie van en/of binnen de Gemeente Amsterdam te waarborgen: beschikbaarheid, integriteit en vertrouwelijkheid. In het informatiebeveiligingsbeleid van de gemeente Amsterdam worden de uitgangspunten op dit terrein weergegeven, wat de verschillende verantwoordelijkheden zijn van betrokken personen en welke maatregelen de gemeente Amsterdam neemt om waardevolle informatie te beschermen. De maatregelen, om informatie te beschermen, moeten in verhouding zijn met de waarde die de gemeente Amsterdam wil beschermen en deze moeten effectief en efficiënt zijn. De maatregelen dienen zo min mogelijk ten koste te gaan van andere sturingsprincipes zoals flexibiliteit en klantgerichtheid. Specifieke procesbeschrijvingen en handboeken die voor een beperkt deel van de organisatie interessant zijn vormen geen onderdeel van het informatiebeveiligingsbeleid.. Het informatiebeveiligingsbeleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. 4

5 3 Reikwijdte Suwinet beleid 3.1 Omgeving De omgeving waar binnen de richtlijnen, die in dit document worden beschreven, geplaatst moeten worden, wordt gedefinieerd door de volgende functies: Suwinet-Inkijk direct en snel ophalen van gegevens op een gestandaardiseerde wijze, op basis van web technologie, via Suwinet. Suwinet-Mail uitwisselen van ongestructureerde berichten ( ) via Suwinet. Pc s en het netwerk via welke toegang wordt verkregen tot de applicatie Suwinet-Inkijk; Dossiers; Organisatie; Omgeving; Systemen welke andere ketenpartners inkijkmogelijkheden bieden bij Werk en Inkomen. 3.2 Uitgangspunten Uitgegaan wordt van de volgende uitgangspunten en aannames: De Regeling SUWI dient als basis voor het bepalen van het beveiligingsniveau voor de uitwisseling van gegevens binnen Suwi; Het beveiligingsniveau is bepaald op basis van Bijlage I van de Regeling SUWI, die door de Minister van Sociale Zaken en Werkgelegenheid en de Staatssecretaris van Sociale Zaken en Werkgelegenheid, in overeenstemming met de Minister van Financiën is vastgesteld; Het Richtlijnenboek informatiebeveiliging SUWI gemeenten is een 1 op 1 vertaling van de bijlagen I van de Regeling SUWI; Het richtlijnenboek informatiebeveiliging SUWI gemeenten is er op gericht te zorgen dat de verwerking en uitwisseling van persoonsgegevens tussen de Suwi- organisaties voldoen aan de wettelijke eisen; Informatiebeveiliging is een lijnverantwoordelijkheid. 5

6 4 Kader voor de beveiliging van Suwinet Het informatiebeveiligingsbeleid t.a.v. het taakgebied Werk en Inkomen is gebaseerd op het normenkader informatiebeveiliging Suwi, bijlage I van de regeling Suwi: Het management heeft goedkeuring gegeven ten aanzien van het eigen beleidsdocument dat is opgesteld op basis van het GeVS Suwinet normenkader en dit is uitgedragen naar alle medewerkers die Suwinet gebruiken. Daarnaast moet rekening worden gehouden met het eerder vastgestelde Informatiebeveiligingsbeleid voor de rve s Werk Participatie en Inkomen dat nog geldend is voor het taakgebied van Werk en Inkomen in afwachting van gemeentelijk breed beveiligingsbeleid. Dit gemeentelijk beleid zal naar verwachting in de loop van 2016 worden ingevoerd en dit Suwinet-beleid zal daar een onderdeel van vormen. De gemeente Amsterdam heeft zich, middels het huidige Informatiebeveiligingsbeleid, geconformeerd aan de Baseline Informatiebeveiliging Gemeenten (BIG) en dus ook aan de beveiliging van gegevens. Dit gegeven vormt het vertrekpunt voor de specifieke beveiliging van de daarvoor in aanmerking komende afdelingen. De in dit plan opgenomen gebruikersnormen voldoen voor de medewerkers van de gemeente Amsterdam voor het gebruik van Suwinet. 6

7 5 Gebruikers van Suwinet Alleen medewerkers in dienst van, of werkzaam voor de gemeente Amsterdam voor wie het raadplegen van Suwinet functioneel noodzakelijk wordt geacht, worden geautoriseerd. Door Suwinet worden op gemeentelijk niveau de volgende functies vereist: Gebruikersbeheerder: De gebruikersbeheerder voert medewerkers op in Suwinet en autoriseert deze voor de verschillende functionaliteiten van Suwinet, behorend bij de door de gebruiker uitgeoefende functie(s)/rol(en). De functies, met bijbehorende bevoegdheden, zijn opgenomen in een autorisatietabel, die tenminste éénmaal per jaar wordt beoordeeld bij de evaluatie. Gebruikers: De gebruikers maken van hun bevoegdheden binnen Suwinet gebruik in de situaties als genoemd in paragraaf 5.2. Security Officer: Deze beoordeelt tenminste twee keer per jaar het gebruik van Suwinet aan de hand van de rapportages van het BKWI, vraagt specifieke rapportages op en controleert regelmatig de autorisaties. Bevindingen worden besproken, de resultaten vastgelegd en eens per jaar aan het management gerapporteerd. 5.1 Gebruik Suwinet-Inkijk De onder 5.2 genoemde gebruikers maken gebruik van Suwinet-Inkijk voor het raadplegen van cliëntgegevens/informatie. Voor de diverse functies binnen de organisatie is er behoefte aan verschillende soorten informatie. Dat betekent dat niet iedereen ook over alle informatie moet kunnen beschikken. Alleen informatie die strikt noodzakelijk is voor het uitvoeren van de werkzaamheden mag worden gebruikt. Wordt Suwinet-Inkijk om andere redenen gebruikt, zoals hierboven is verwoord, dan is er mogelijk sprake van onrechtmatig gebruik. De autorisatiebeheerders zorgen ervoor dat per functie de juiste rollen worden toebedeeld. De Suwirollen zijn per functie vastgelegd volgens een autorisatiematrix (Bijlage 2). 7

8 5.2 De volgende functies zijn geautoriseerd om gebruik te maken van Suwinet-Inkijk: Bedrijfsbureau Staf en de Servicedesk ICT beheren autorisaties voor Suwinet; De Suwinet Security Officer vraagt periodiek logging gegevens op; Klantmanagers, inkomensconsulenten en teamassistenten van Werk en Inkomen mogen raadplegen bij het behandelen van aanvragen of melding dat belanghebbende een uitkering wil aanvragen, rechtmatigheidsonderzoeken en tussenonderzoeken voor zover het de Participatiewet, IOAW, IOAZ, Bbz 2004 of een andere door de afdeling uitgevoerde regeling betreft. Er is een zodanig onderscheid gemaakt in functie en rol binnen de autorisatiestructuur van Suwinet dat de medewerker uitsluitend de voor hem/haar van belang zijnde gegevens kan raadplegen. Administratief medewerkers mogen opvragen/raadplegen voor een globale check op het recht op een uitkering; Handhavers en Sociaal rechercheurs mogen in het kader van T&V en fraude onderzoeken meer gegevens raadplegen; Juridisch kwaliteitsmedewerkers mogen raadplegen. 5.3 Specifieke maatregelen Suwinet Toegang tot Suwinet is beperkt tot een aantal functies die vanuit een publiekrechtelijke taak gegevens nodig hebben uit de Suwi-keten. Toegangsrechten voor Suwinet worden vastgelegd in een autorisatiematrix (bijlage). Hierin wordt een relatie gelegd tussen gebruikersgroepen en specifieke functies in Suwinet. Het aantal accounts waarbij gebruikers kunnen zoeken met meer zoeksleutels dan het BSN (de zogenaamde zware Suwi-rollen) is zeer beperkt (minder dan 20% van het totaal). Deze zware rollen, G018, G021, G030, staan vermeld, inclusief functies in de autorisatiematrix (zie bijlage autorisatiematrix). Nieuwe functionaliteiten binnen Suwinet worden na het beschikbaar komen actief uitgezet bij gebruikers van Suwinet en verwerkt in de autorisatiematrix. Toegangsrechten worden tenminste twee keer per jaar steekproefsgewijs gecontroleerd. Deze controle wordt schriftelijk vastgelegd door de Security Officer voor Suwinet. Het gebruik van Suwinet wordt gelogd en periodiek gecontroleerd. De log-gegevens worden door de Security Officer beoordeeld. Bij twijfel of vermoedens van ongeoorloofd gebruik wordt overleg gevoerd met de betrokken teammanager van de betreffende medewerker. Het gebruik van Suwinet vindt slechts plaats via beveiligde verbindingen over GemNet. Alleen verkeer uit het eigen netwerk van de Suwi-partij wordt via firewalls aangeboden aan het Suwi-Koppelpunt. Bij koppelingen van de Suwi-partij aan de Suwinet infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwi-partijen wordt doorgelaten. De inrichting van de externe koppeling is voorzien van afzonderlijke beveiligingszones. 8

9 6 Beveiligingseisen ten aanzien van personeel Iedere medewerker of ambtenaar in dienst van de Gemeente Amsterdam wordt geacht te handelen conform de voorschriften zoals vermeld in het Nieuwe Rechtspositieregeling Gemeente Amsterdam (NRGA) en de Gedragscode voor de Gemeente Amsterdam. Uitsluitend bevoegde personen hebben toegang tot, en kunnen gebruik maken van, de in Suwinet opgenomen gegevens. De bevoegdheden van een persoon moeten worden afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon. Bevoegdheden worden, op aangeven van de direct leidinggevende van de betreffende medewerker, beoordeeld door de informatiebeheerder. Alle ambtenaren van de Gemeente Amsterdam, leggen de ambtseed af. Externe medewerkers tekenen een algemene geheimhoudingsverklaring. Tevens is iedere medewerker, voor aanvang van de werkzaamheden, verplicht een geheimhoudingsverklaring te tekenen waarin aandacht wordt gegeven aan het gebruik van gegevens uit Suwinet. Conform een eerder besluit van het Directieteam van de rve s Werk, Participatie en Inkomen krijgen klanten van cluster Sociaal, vanuit welke opdracht dan ook, geen toegang tot gegevens uit Suwinet. Gewenste afwijkingen in het toegangsbeleid dienen vooreerst gemeld te worden bij de Informatiebeveiligingscoördinator. 6.1 Werving en selectie Bij de aanname van (tijdelijk) personeel wordt het gemeentelijk beleid gevolgd zoals geregeld in het NRGA. Een Verklaring Omtrent het Gedrag en referenties zijn hierbij verplicht. Bij twijfel wordt een andere serviceverlener gekozen. Indien een noodzaak bestaat, zal het onderdeel Screening en Bewaking van Bureau Integriteit worden gevraagd naar de betrouwbaarheid van de externe partner waarmee de gemeente Amsterdam zaken mee doet of gaat doen. 6.2 Aandacht voor informatiebeveiliging bij indiensttreding Bij indiensttreding worden de medewerkers op de hoogte gebracht van de eisen die de gemeente Amsterdam stelt aan een betrouwbare informatievoorziening. Voor personen die werkzaam zijn binnen het cluster Sociaal zijn huisregels vastgesteld. Hierin wordt algemene informatie gegeven over toegang tot en gebruik van computerfaciliteiten en het omgaan met persoonsgegevens. Deze huisregels worden bij de indiensttreding overhandigd en zijn raadpleegbaar via intranet. Tevens wordt het Suwinet Informatiebeveiligingsbeleid incl. de Suwinet-gedragsregels minimaal 2x per jaar onder de aandacht gebracht van de gebruikers van Suwinet. Dit kan bestaan uit workshops en/of berichten via mail en intranet. 9

10 6.3 Training voor gebruikers Managers in het werkveld van Werk en Inkomen instrueren de individuele gebruikers omtrent correcte omgang met het gebruik van Suwinet. Er wordt met betrekking tot Suwinet een gebruikershandleiding uitgereikt aan alle nieuwe gebruikers. Tijdens de algemene introductie van nieuwe medewerkers worden zij in kennis gesteld hoe om te gaan met het gebruik van privacygevoelige informatie. Er is voor het gebruik van Suwinet een intranetpagina opgesteld hoe om te gaan met Suwinet. Tevens zijn alle werkinstructies, waarin het gebruik van Suwinet-Inkijk benodigd is, digitaal beschikbaar. Hierin is beschreven welke informatie er moet worden opgevraagd voor welke uit te voeren taak. Het integer gebruik van informatie wordt als onderwerp meegenomen in de PVB-cyclus (planning<>voortgang<>beoordeling) van medewerkers. In 2016 is een training morele oordeelsvorming georganiseerd voor medewerkers van WPI, waarin specifiek aandacht wordt besteed aan het gebruik van Suwinet-gegevens. 6.4 Meldingsplicht Elk vermoeden van het optreden van een Suwinet-beveiligingsincident dient door de medewerker, die dit incident constateert, onmiddellijk te worden doorgegeven aan de direct leidinggevende of de Security Officer. Bij ernstige incidenten of een concreet vermoeden van misbruik van Suwinet-gegevens wordt het gemeentelijk bureau Integriteit ingeschakeld. In het kader van de meldplicht datalekken is er een mailadres beschikbaar gesteld waar medewerkers eventuele datalekken, of vermoeden van datalekken, kunnen melden. De mail die op dit mailadres binnenkomt wordt actief gemonitord door de Security Officer. 6.5 Clear en Clean Desk Policy De gemeente Amsterdam hanteert de standaard Clear Desk Policy zoals vernoemd in de BIG. Samengevat houdt de Clear Desk Policy minimaal het volgende in: Bij het (tijdelijk) verlaten van de werkplek wordt vertrouwelijke, privacygevoelige en/of bedrijf kritische informatie opgeborgen en wordt de werkplek afgesloten; Vertrouwelijke en/of privacygevoelige informatie wordt bewaard in een deugdelijk af te sluiten kast of kluis; Werkstations mogen niet toegankelijk zijn voor onbevoegden wanneer zij onbeheerd achterblijven, deze dienen gelocked te worden; Flexwerkplekken dienen na het einde van de dag of werktijd schoon achter gelaten te worden. Persoonlijke spullen kunnen overdag in een locker worden opgeborgen maar moeten aan het einde van de dag/werktijd weer worden meegenomen. Voor flexwerkplekken geldt verplicht de Clean Desk Policy; Vertrouwelijke en/of privacygevoelige informatie wordt na het afdrukken onmiddellijk van de printer verwijderd; Fotokopieerapparaten worden buiten kantooruren afgesloten of op een andere manier beveiligd tegen ongeautoriseerd gebruik. 10

11 7 Logische Toegangsbeveiliging Doelstelling is het voorkomen van ongeautoriseerde toegang tot informatie en informatiesystemen (applicaties): ter bescherming van de vertrouwelijkheid van de informatie; ter voorkoming van ongeautoriseerde en ongewenste wijzigingen, vernieling of vernietiging van informatie of programmatuur en; ter voorkoming van verstoringen van het normale bedrijfsproces. Mogelijkheden tot controle en beveiliging dienen zoveel mogelijk buiten de applicaties te worden gehouden, en dienen bij voorkeur dus niet in de aanwezige apparatuur of standaard besturingsprogrammatuur te worden geïmplementeerd. 7.1 Beleid ten aanzien van logische toegangsbeveiliging Om effectieve toegangscontrole tot vertrouwelijke en gevoelige ICT-diensten en -gegevens te kunnen implementeren en onderhouden, dient elke beheerder van bedrijfskritische applicaties te beschikken over duidelijk beleid m.b.t. de toewijzing van bevoegdheden en de wijze van informatieverspreiding. Het toegangsbeleid bestaat uit de volgende kernpunten: 1. Het gebruik van speciale bevoegdheden dient te worden beperkt en beheerd. Deze bevoegdheden mogen alleen worden toegewezen aan personen in die gevallen waarin dit echt nodig is ( need to use ) en dienen per toewijzing te worden bekeken en vastgelegd; 2. Het verantwoordelijke (lijn)management dient te toetsen of de privileges door de ICTbeheersorganisatie conform de aanvraag voor toekenning of verwijdering zijn doorgevoerd; 3. Omwille van de herleidbaarheid van acties van personen, dient iedereen gebruik te maken van persoonsgebonden gebruikersnamen; 4. Het gebruik van gebruikersnamen voor of door meerdere personen is niet toegestaan. Ook het gebruik van generieke gebruikersnamen is niet toegestaan (denk bijvoorbeeld aan gebruikersnamen als Uitzendkracht1 of testgebruiker 0.); 5. Toegangsrechten worden alleen verleend op basis van de rol of functie die de betrokken medewerker vervult. Door vooraf duidelijk te maken welke toegangsrechten behoren tot welke functie, kan de juiste set aan gebruikersrechten worden toegekend; 6. De verantwoordelijkheid voor de controle op de juistheid en volledigheid van de uitgereikte gebruikersnamen en rechten ligt bij het lijnmanagement (RVE- en teammanager); 7. Beperkingen van toegangsrechten dienen zoveel mogelijk technisch te worden afgedwongen en zo weinig mogelijk procedureel of organisatorisch. 11

12 7.2 Management van toegangsrechten / autorisatiebeheer Alle gebruikers worden er, via de Gedragscode van de Gemeente Amsterdam en de Gedragscode Elektronische Communicatiemiddelen als onderdeel van het Handboek HRM, op gewezen dat zij zorgvuldig met de aan hen verstrekte wachtwoorden moeten omgaan. De procedures voor het wijzigen van wachtwoorden worden periodiek onder de aandacht gebracht via het intranet Registratie van gebruikers Iedere gebruiker krijgt bij indiensttreding de beschikking over een persoonlijke gebruikersnaam. Bij indiensttreding worden de toegangsbevoegdheden en systeemprivileges volgens een vastgestelde autorisatie matrix toegekend. De direct leidinggevende dient hiervoor een verzoek in. Bij dienstbeëindiging of bij wijziging van functie van personeel worden toegekende toegangsbevoegdheden en systeemprivileges met onmiddellijke ingang verwijderd. De direct leidinggevende is hierbij verantwoordelijk voor de melding van het vertrek van de medewerker aan het Servicehuis Personeel. Het bedrijfsbureau van Bedrijfsbureau Staf heeft in deze procedure een registrerende en controlerende rol Toegang tot netwerk(diensten) Het netwerk van de gemeente Amsterdam is bedoeld om aan de zakelijke behoefte van haar medewerkers te voldoen. Het is de medewerkers niet toegestaan de beschikbare Internetvoorzieningen te misbruiken voor privédoeleinden en onbetamelijk gebruik. In de gevallen dat door virussen een tijdelijke of permanente dreiging ontstaat voor de continuïteit van de dienstverlening van de gemeente kan worden besloten het gebruik van Internet verder te beperken of zelfs Internet toegang geheel af te sluiten. Bij de systemen en applicaties met de classificatie hoog voor Vertrouwelijkheid geldt dat als vertrouwelijke informatie over een publiek netwerk wordt getransporteerd, het voor derden niet mogelijk moet zijn om de (persoons)gegevens die de gemeente over het netwerk transporteert, te kunnen lezen Toegang tot werkstations Toegang tot informatie systemen verloopt via een beveiligde inlogprocedure. Inlogprocedures zijn bedoeld om het risico van ongeautoriseerde toegang te beperken. Het maximale aantal inlogpogingen wordt beperkt tot 3. Het is niet mogelijk om toegang te krijgen tot het netwerk van de gemeente Amsterdam zonder dat de inlogprocedure succesvol is doorlopen Werkstations in publieke ruimtes Werkstations of klanten pc s, in publieke ruimten van bijvoorbeeld de Stadsloketten, mogen geen toegang verschaffen tot het netwerk en informatiesystemen van de gemeente Amsterdam. Dit geldt tevens voor de openbare Wifi-voorzieningen. 12

13 7.2.5 Toegang tot informatiesystemen Identificatie en authenticatie van de eindgebruikers vindt plaats op basis van een unieke en persoonsgebonden gebruikersnaam. Nadat een nieuw wachtwoord is verstrekt dient dit direct na eerste inlog te worden gewijzigd door de medewerker. Het wachtwoord zal iedere drie maanden door de medewerker moeten worden gewijzigd. Dit proces wordt automatisch afgedwongen Controle op toegangsrechten ICT heeft middelen tot haar beschikking om het (on)juist gebruik te detecteren. Monitoring vindt plaats a.d.h.v. de toegangslogboeken. Deze toegangslogboeken zijn per definitie niet persoonsgebonden. Uitsluitend na formele opdracht van bevoegde instanties wordt overgegaan tot het loggen van acties van individuen. Dit conform de regels van de gedragscode Elektronische Communicatiemiddelen en het Reglement Bedrijfsmiddelen. Voor leveranciers van informatiesystemen geldt dat zij toegangslogboeken, aan de hand van wettelijke bepalingen en normen die de gemeente Amsterdam stelt, dienen in te richten. De afdeling ICT controleert periodiek welke gebruikers gedurende een periode van een aantal maanden geen gebruik hebben gemaakt van de toegangsrechten tot het netwerk. Van deze gebruikers wordt het account tijdelijk onbruikbaar gemaakt. De controle op juistheid van toegangsrechten behoort tot de verantwoordelijkheid van de (proces)eigenaren van de applicatie. Zij moeten hierover verantwoording af leggen aan het MT Gebruik van (controle)hulpmiddelen De normale eindgebruiker heeft geen toegang tot de systeemprogramma s waarmee controles in systemen en toepassingen kunnen worden doorbroken. Deze systeem(beheer)programma s kennen een eigen bescherming, waarbij het voor eindgebruikers niet mogelijk is de programma s te benaderen en/of te starten Toegang van derden bij uitbestede diensten Ook derden moeten voldoen aan het beschreven toegangsbeleid. Afspraken over toegang van derden tot de ICT voorzieningen worden in een SLA en in een integriteitverklaring vastgelegd, waarin alle noodzakelijke beveiligingsvoorwaarden zijn gespecificeerd. In het contract met de derde partij wordt verwezen naar het bestaan van de SLA. Bij uitwisseling van persoonsgegevens is het verplicht om een bewerkersovereenkomst af te sluiten. 13

14 8 Logging en rapportages Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft rapportages ontwikkeld over het gebruik van Suwinet-Inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker kan worden nagegaan. De volgende gegevens worden gelogd: het tijdstip van iedere log-in en log-out en andere actie; de gebruikersnaam van degene die inlogt/uitlogt; elk BSN (of andere zoeksleutel) waarvan gegevens worden opgevraagd; elke actie, zoals de bekeken kolom- of overzichtspagina s. Het doel van deze logging is: tegengaan en controleren van onrechtmatige, onregelmatige of doel overschrijdende verwerking. De gebruikers van Suwinet-Inkijk moeten op de hoogte zijn dat over het gebruik gegevens worden verzameld en vastgelegd. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-Inkijk: Het bestaan van de logging; De (aard van de) gegevens die binnen deze applicatie worden gelogd; Doelen van de logging; Dat de gelogde gegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze zijn vastgelegd; De wijze en het moment waarop en door wie een onrechtmatig of doel overschrijdend gebruik van het Suwinet-Inkijk wordt geconstateerd. In het kader van de beveiliging worden de gegevens over het gebruik van Suwinet-Inkijk periodiek uitgevraagd. Het kunnen de volgende gegevens betreffen: 1. Opvragingen van unieke BSN s; 2. Opvragingen buiten officiële openingstijden; 3. Gebruik van gebruikersbeheerrollen; 4. Gebruik van de zogenaamde zware rollen; 5. Accounts die langer dan 90 dagen niet actief zijn. De controle op verleende toegangsrechten en gebruik vindt minstens twee maal per jaar plaats. Interne controle op rechten en gebruik van Suwinet en analyseren van de van het BKWI verkregen informatie over het gebruik van Suwinet gegevens. Er worden tenminste 4 maandelijks logging gegevens opgevraagd. Waar dat kan zonder privacy regels voor medewerkers van de gemeente te schaden, gebeurt dat steekproefsgewijs op accountniveau. Deze rapportage wordt getoetst door de Suwinet security officer conform een vooraf vastgesteld toetsingskader. De bevindingen worden vastgelegd in een verslag. Rapportage aan DT WPI, daarna via manager IV Sociaal naar de stedelijk directeur Sociaal. De CISO neemt kennis van de resultaten. 14

15 9 Gedragsregels gebruik Suwinet Voor het werken met en de omgang met persoonsgegevens is vanuit de overheid een aantal regels opgesteld, die zijn neergelegd in diverse wet- en regelgeving. Voor medewerkers die Suwinet raadplegen, gelden de gedragsregels zoals opgenomen in bijlage 1 Gedragsregels Suwinet-inkijk. 9.1 Verantwoording Dit beveiligingsbeleid vormt een bijlage bij het Suwinet Informatiebeveiligingsplan. De controle op gebruik van Suwinet wordt gewaarborgd door de controles die in het Informatiebeveiligingsplan staan beschreven. Bij het opstellen van de bovengenoemde rapportage wordt eveneens gerapporteerd over het proces van opvragen c.q. het controleren van logging-gegevens. Aldus vastgesteld door burgemeester en wethouders van de gemeente Amsterdam, Maart

16 Bijlage 1 Gedragsregels Suwinet-Inkijk De gemeente Amsterdam heeft beschikking over informatiebronnen, die door derden beschikbaar zijn gesteld, om het werk goed te kunnen doen. Die bronnen gebruiken we in enkele van de systemen. Een voorbeeld van zo n systeem is Suwinet-Inkijk. Suwinet-Inkijk maakt gebruik van gegevens van burgers die zeer privacygevoelig zijn. Burgers mogen zonder meer verwachten dat hun gegevens alleen maar worden gebruikt voor wettelijke taken en bevoegdheden. Dit vraagt veel van de medewerker. Daarom herhalen we de regels voor gebruik van Suwinet-Inkijk regelmatig. De regels Het is zonder meer verboden om het Suwinet-Inkijk te raadplegen: Omdat je nieuwsgierig bent; Omdat een partner of bekende het vraagt; Om te kijken wie op het adres van de buren staat ingeschreven; Om een BSN te achterhalen; Om informatie in te zien van andere dan eigen klanten. Maatregelen Om te helpen voorkomen dat je, ondanks goede wil, toch een verkeerde beslissing neemt, herhalen we de regels voor gebruik van systemen als Suwinet regelmatig. We komen, helaas, ook misbruik van deze bronnen of systemen tegen binnen onze rve s. Iedere keer dat dit gebeurt is er één te veel. Als onze informatiebronnen voor niet-zakelijke doeleinden worden ingezien of gebruikt, zal in de regel onvoorwaardelijk strafontslag worden opgelegd. 16

17 In gesprek blijven Het belangrijkste is dat we ons allemaal blijven inzetten om de systemen en bronnen die aan ons beschikbaar zijn gesteld op een juiste manier te gebruiken dan wel te raadplegen. We moeten hierover met elkaar in gesprek blijven. Het werkoverleg is bij uitstek een moment om dat te doen, maar zeker ook regelmatig overleggen met jouw collega s tijdens het werk kan hierbij helpen. Voorwaarden voor het gebruik van Suwinet-Inkijk Je kunt alleen gegevens opvragen uit Suwinet-Inkijk nadat je hiertoe schriftelijk een autorisatie is toegekend. Je mag alleen die gegevens raadplegen of muteren, overeenkomstig de geldende instructies, waartoe jouw autorisatie reikt en welke je nodig hebt voor de directe uitoefening van de aan jou door jouw manager opgedragen taken. Je bent op de hoogte van de voorschriften dat de bevraagde gegevens over personen die staan vermeld met een indicatie geheim alleen kunnen worden verstrekt met inachtneming van die indicatie. Je bent op de hoogte van de voorschriften dat het jou niet is toegestaan hardcopy s te printen en te verstrekken aan personen, bedrijven en instanties. Je draagt er zorg voor dat bij het (tijdelijk) verlaten van de werkplek, het werkstation wordt afgesloten. Je wordt er op gewezen dat het uitdrukkelijk verboden is jouw gebruikersnaam en password aan een andere persoon kenbaar te maken, ook al verzoekt jouw manager jou om dat te doen Je wordt er op gewezen dat alle handelingen en verrichtingen in Suwinet-Inkijk door middel van jouw autorisatie worden geregistreerd en vastgelegd en dat dit steekproefsgewijs wordt gecontroleerd. De verantwoordelijke manager is verplicht, zodra de werkzaamheden waartoe een gebruiker is geautoriseerd worden beëindigd, dan wel zijn/haar dienstbetrekking wordt gewijzigd, de autorisatie voor Suwinet van de medewerker te laten beëindigen. 17