Informatiebeveiligingsbeleid Suwinet 2016
|
|
- Elias Segers
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Informatiebeveiligingsbeleid Suwinet
2 Inhoud 1 Inleiding Beleidsuitgangspunten Doel en scope informatiebeveiligingsbeleid Reikwijdte Suwinet beleid Omgeving Uitgangspunten Kader voor de beveiliging van Suwinet Gebruikers van Suwinet Gebruik Suwinet-Inkijk De volgende functies zijn geautoriseerd om gebruik te maken van Suwinet-Inkijk: Specifieke maatregelen Suwinet Beveiligingseisen ten aanzien van personeel Werving en selectie Aandacht voor informatiebeveiliging bij indiensttreding Training voor gebruikers Meldingsplicht Clear en Clean Desk Policy Logische Toegangsbeveiliging Beleid ten aanzien van logische toegangsbeveiliging Management van toegangsrechten / autorisatiebeheer Registratie van gebruikers Toegang tot netwerk(diensten) Toegang tot werkstations Werkstations in publieke ruimtes Toegang tot informatiesystemen Controle op toegangsrechten Gebruik van (controle)hulpmiddelen Toegang van derden bij uitbestede diensten Logging en rapportages Gedragsregels gebruik Suwinet Verantwoording Bijlage 1 Gedragsregels Suwinet-Inkijk
3 1 Inleiding Bureau Keteninformatisering werk en inkomen (BKWI), het Inlichtingenbureau (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), de Belastingdienst, de Dienst Uitvoering Onderwijs (DUO), de Kamer van Koophandel (KVK), de Rijksdienst voor identiteitsgegevens, de Rijksdienst voor het wegverkeer (RDW) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit Suwinet-Inkijk worden gegevens op basis van Burger Service Nummers (BSN) toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Om de SUWI keten effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat "hun" gegevens door de partners in de Suwiketen op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. In dit Suwinet Informatiebeveiligingsbeleid zal eerst het kader voor de beveiliging geschetst worden. Vervolgens wordt ingegaan op de bevoegdheden van gebruikers en aangegeven in welke situaties Suwinet gebruikt mag worden. Verder wordt er een aantal gedragsregels gegeven waar medewerkers zich aan dienen te houden bij het gebruik van gegevens uit Suwinet. 3
4 2 Beleidsuitgangspunten Het Suwinet Informatiebeveiligingsbeleid is gericht op het gebruik van Suwinet t.b.v.de uitvoering van het proces Werk en Inkomen door de rve s Werk, Participatie en Inkomen van cluster Sociaal, gemeente Amsterdam. De gemeente Amsterdam hanteert een aantal belangrijke uitgangspunten in haar informatiebeveiligingsbeleid. De principes in dit hoofdstuk dienen ook buiten de beschreven maatregelen toegepast te worden. 2.1 Doel en scope informatiebeveiligingsbeleid Informatiebeveiliging is het geheel van maatregelen, procedures en processen die de waarde van informatie beschermen voor de gemeente Amsterdam. De informatiebeveiliging dient de volgende waarden van informatie van en/of binnen de Gemeente Amsterdam te waarborgen: beschikbaarheid, integriteit en vertrouwelijkheid. In het informatiebeveiligingsbeleid van de gemeente Amsterdam worden de uitgangspunten op dit terrein weergegeven, wat de verschillende verantwoordelijkheden zijn van betrokken personen en welke maatregelen de gemeente Amsterdam neemt om waardevolle informatie te beschermen. De maatregelen, om informatie te beschermen, moeten in verhouding zijn met de waarde die de gemeente Amsterdam wil beschermen en deze moeten effectief en efficiënt zijn. De maatregelen dienen zo min mogelijk ten koste te gaan van andere sturingsprincipes zoals flexibiliteit en klantgerichtheid. Specifieke procesbeschrijvingen en handboeken die voor een beperkt deel van de organisatie interessant zijn vormen geen onderdeel van het informatiebeveiligingsbeleid.. Het informatiebeveiligingsbeleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. 4
5 3 Reikwijdte Suwinet beleid 3.1 Omgeving De omgeving waar binnen de richtlijnen, die in dit document worden beschreven, geplaatst moeten worden, wordt gedefinieerd door de volgende functies: Suwinet-Inkijk direct en snel ophalen van gegevens op een gestandaardiseerde wijze, op basis van web technologie, via Suwinet. Suwinet-Mail uitwisselen van ongestructureerde berichten ( ) via Suwinet. Pc s en het netwerk via welke toegang wordt verkregen tot de applicatie Suwinet-Inkijk; Dossiers; Organisatie; Omgeving; Systemen welke andere ketenpartners inkijkmogelijkheden bieden bij Werk en Inkomen. 3.2 Uitgangspunten Uitgegaan wordt van de volgende uitgangspunten en aannames: De Regeling SUWI dient als basis voor het bepalen van het beveiligingsniveau voor de uitwisseling van gegevens binnen Suwi; Het beveiligingsniveau is bepaald op basis van Bijlage I van de Regeling SUWI, die door de Minister van Sociale Zaken en Werkgelegenheid en de Staatssecretaris van Sociale Zaken en Werkgelegenheid, in overeenstemming met de Minister van Financiën is vastgesteld; Het Richtlijnenboek informatiebeveiliging SUWI gemeenten is een 1 op 1 vertaling van de bijlagen I van de Regeling SUWI; Het richtlijnenboek informatiebeveiliging SUWI gemeenten is er op gericht te zorgen dat de verwerking en uitwisseling van persoonsgegevens tussen de Suwi- organisaties voldoen aan de wettelijke eisen; Informatiebeveiliging is een lijnverantwoordelijkheid. 5
6 4 Kader voor de beveiliging van Suwinet Het informatiebeveiligingsbeleid t.a.v. het taakgebied Werk en Inkomen is gebaseerd op het normenkader informatiebeveiliging Suwi, bijlage I van de regeling Suwi: Het management heeft goedkeuring gegeven ten aanzien van het eigen beleidsdocument dat is opgesteld op basis van het GeVS Suwinet normenkader en dit is uitgedragen naar alle medewerkers die Suwinet gebruiken. Daarnaast moet rekening worden gehouden met het eerder vastgestelde Informatiebeveiligingsbeleid voor de rve s Werk Participatie en Inkomen dat nog geldend is voor het taakgebied van Werk en Inkomen in afwachting van gemeentelijk breed beveiligingsbeleid. Dit gemeentelijk beleid zal naar verwachting in de loop van 2016 worden ingevoerd en dit Suwinet-beleid zal daar een onderdeel van vormen. De gemeente Amsterdam heeft zich, middels het huidige Informatiebeveiligingsbeleid, geconformeerd aan de Baseline Informatiebeveiliging Gemeenten (BIG) en dus ook aan de beveiliging van gegevens. Dit gegeven vormt het vertrekpunt voor de specifieke beveiliging van de daarvoor in aanmerking komende afdelingen. De in dit plan opgenomen gebruikersnormen voldoen voor de medewerkers van de gemeente Amsterdam voor het gebruik van Suwinet. 6
7 5 Gebruikers van Suwinet Alleen medewerkers in dienst van, of werkzaam voor de gemeente Amsterdam voor wie het raadplegen van Suwinet functioneel noodzakelijk wordt geacht, worden geautoriseerd. Door Suwinet worden op gemeentelijk niveau de volgende functies vereist: Gebruikersbeheerder: De gebruikersbeheerder voert medewerkers op in Suwinet en autoriseert deze voor de verschillende functionaliteiten van Suwinet, behorend bij de door de gebruiker uitgeoefende functie(s)/rol(en). De functies, met bijbehorende bevoegdheden, zijn opgenomen in een autorisatietabel, die tenminste éénmaal per jaar wordt beoordeeld bij de evaluatie. Gebruikers: De gebruikers maken van hun bevoegdheden binnen Suwinet gebruik in de situaties als genoemd in paragraaf 5.2. Security Officer: Deze beoordeelt tenminste twee keer per jaar het gebruik van Suwinet aan de hand van de rapportages van het BKWI, vraagt specifieke rapportages op en controleert regelmatig de autorisaties. Bevindingen worden besproken, de resultaten vastgelegd en eens per jaar aan het management gerapporteerd. 5.1 Gebruik Suwinet-Inkijk De onder 5.2 genoemde gebruikers maken gebruik van Suwinet-Inkijk voor het raadplegen van cliëntgegevens/informatie. Voor de diverse functies binnen de organisatie is er behoefte aan verschillende soorten informatie. Dat betekent dat niet iedereen ook over alle informatie moet kunnen beschikken. Alleen informatie die strikt noodzakelijk is voor het uitvoeren van de werkzaamheden mag worden gebruikt. Wordt Suwinet-Inkijk om andere redenen gebruikt, zoals hierboven is verwoord, dan is er mogelijk sprake van onrechtmatig gebruik. De autorisatiebeheerders zorgen ervoor dat per functie de juiste rollen worden toebedeeld. De Suwirollen zijn per functie vastgelegd volgens een autorisatiematrix (Bijlage 2). 7
8 5.2 De volgende functies zijn geautoriseerd om gebruik te maken van Suwinet-Inkijk: Bedrijfsbureau Staf en de Servicedesk ICT beheren autorisaties voor Suwinet; De Suwinet Security Officer vraagt periodiek logging gegevens op; Klantmanagers, inkomensconsulenten en teamassistenten van Werk en Inkomen mogen raadplegen bij het behandelen van aanvragen of melding dat belanghebbende een uitkering wil aanvragen, rechtmatigheidsonderzoeken en tussenonderzoeken voor zover het de Participatiewet, IOAW, IOAZ, Bbz 2004 of een andere door de afdeling uitgevoerde regeling betreft. Er is een zodanig onderscheid gemaakt in functie en rol binnen de autorisatiestructuur van Suwinet dat de medewerker uitsluitend de voor hem/haar van belang zijnde gegevens kan raadplegen. Administratief medewerkers mogen opvragen/raadplegen voor een globale check op het recht op een uitkering; Handhavers en Sociaal rechercheurs mogen in het kader van T&V en fraude onderzoeken meer gegevens raadplegen; Juridisch kwaliteitsmedewerkers mogen raadplegen. 5.3 Specifieke maatregelen Suwinet Toegang tot Suwinet is beperkt tot een aantal functies die vanuit een publiekrechtelijke taak gegevens nodig hebben uit de Suwi-keten. Toegangsrechten voor Suwinet worden vastgelegd in een autorisatiematrix (bijlage). Hierin wordt een relatie gelegd tussen gebruikersgroepen en specifieke functies in Suwinet. Het aantal accounts waarbij gebruikers kunnen zoeken met meer zoeksleutels dan het BSN (de zogenaamde zware Suwi-rollen) is zeer beperkt (minder dan 20% van het totaal). Deze zware rollen, G018, G021, G030, staan vermeld, inclusief functies in de autorisatiematrix (zie bijlage autorisatiematrix). Nieuwe functionaliteiten binnen Suwinet worden na het beschikbaar komen actief uitgezet bij gebruikers van Suwinet en verwerkt in de autorisatiematrix. Toegangsrechten worden tenminste twee keer per jaar steekproefsgewijs gecontroleerd. Deze controle wordt schriftelijk vastgelegd door de Security Officer voor Suwinet. Het gebruik van Suwinet wordt gelogd en periodiek gecontroleerd. De log-gegevens worden door de Security Officer beoordeeld. Bij twijfel of vermoedens van ongeoorloofd gebruik wordt overleg gevoerd met de betrokken teammanager van de betreffende medewerker. Het gebruik van Suwinet vindt slechts plaats via beveiligde verbindingen over GemNet. Alleen verkeer uit het eigen netwerk van de Suwi-partij wordt via firewalls aangeboden aan het Suwi-Koppelpunt. Bij koppelingen van de Suwi-partij aan de Suwinet infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwi-partijen wordt doorgelaten. De inrichting van de externe koppeling is voorzien van afzonderlijke beveiligingszones. 8
9 6 Beveiligingseisen ten aanzien van personeel Iedere medewerker of ambtenaar in dienst van de Gemeente Amsterdam wordt geacht te handelen conform de voorschriften zoals vermeld in het Nieuwe Rechtspositieregeling Gemeente Amsterdam (NRGA) en de Gedragscode voor de Gemeente Amsterdam. Uitsluitend bevoegde personen hebben toegang tot, en kunnen gebruik maken van, de in Suwinet opgenomen gegevens. De bevoegdheden van een persoon moeten worden afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon. Bevoegdheden worden, op aangeven van de direct leidinggevende van de betreffende medewerker, beoordeeld door de informatiebeheerder. Alle ambtenaren van de Gemeente Amsterdam, leggen de ambtseed af. Externe medewerkers tekenen een algemene geheimhoudingsverklaring. Tevens is iedere medewerker, voor aanvang van de werkzaamheden, verplicht een geheimhoudingsverklaring te tekenen waarin aandacht wordt gegeven aan het gebruik van gegevens uit Suwinet. Conform een eerder besluit van het Directieteam van de rve s Werk, Participatie en Inkomen krijgen klanten van cluster Sociaal, vanuit welke opdracht dan ook, geen toegang tot gegevens uit Suwinet. Gewenste afwijkingen in het toegangsbeleid dienen vooreerst gemeld te worden bij de Informatiebeveiligingscoördinator. 6.1 Werving en selectie Bij de aanname van (tijdelijk) personeel wordt het gemeentelijk beleid gevolgd zoals geregeld in het NRGA. Een Verklaring Omtrent het Gedrag en referenties zijn hierbij verplicht. Bij twijfel wordt een andere serviceverlener gekozen. Indien een noodzaak bestaat, zal het onderdeel Screening en Bewaking van Bureau Integriteit worden gevraagd naar de betrouwbaarheid van de externe partner waarmee de gemeente Amsterdam zaken mee doet of gaat doen. 6.2 Aandacht voor informatiebeveiliging bij indiensttreding Bij indiensttreding worden de medewerkers op de hoogte gebracht van de eisen die de gemeente Amsterdam stelt aan een betrouwbare informatievoorziening. Voor personen die werkzaam zijn binnen het cluster Sociaal zijn huisregels vastgesteld. Hierin wordt algemene informatie gegeven over toegang tot en gebruik van computerfaciliteiten en het omgaan met persoonsgegevens. Deze huisregels worden bij de indiensttreding overhandigd en zijn raadpleegbaar via intranet. Tevens wordt het Suwinet Informatiebeveiligingsbeleid incl. de Suwinet-gedragsregels minimaal 2x per jaar onder de aandacht gebracht van de gebruikers van Suwinet. Dit kan bestaan uit workshops en/of berichten via mail en intranet. 9
10 6.3 Training voor gebruikers Managers in het werkveld van Werk en Inkomen instrueren de individuele gebruikers omtrent correcte omgang met het gebruik van Suwinet. Er wordt met betrekking tot Suwinet een gebruikershandleiding uitgereikt aan alle nieuwe gebruikers. Tijdens de algemene introductie van nieuwe medewerkers worden zij in kennis gesteld hoe om te gaan met het gebruik van privacygevoelige informatie. Er is voor het gebruik van Suwinet een intranetpagina opgesteld hoe om te gaan met Suwinet. Tevens zijn alle werkinstructies, waarin het gebruik van Suwinet-Inkijk benodigd is, digitaal beschikbaar. Hierin is beschreven welke informatie er moet worden opgevraagd voor welke uit te voeren taak. Het integer gebruik van informatie wordt als onderwerp meegenomen in de PVB-cyclus (planning<>voortgang<>beoordeling) van medewerkers. In 2016 is een training morele oordeelsvorming georganiseerd voor medewerkers van WPI, waarin specifiek aandacht wordt besteed aan het gebruik van Suwinet-gegevens. 6.4 Meldingsplicht Elk vermoeden van het optreden van een Suwinet-beveiligingsincident dient door de medewerker, die dit incident constateert, onmiddellijk te worden doorgegeven aan de direct leidinggevende of de Security Officer. Bij ernstige incidenten of een concreet vermoeden van misbruik van Suwinet-gegevens wordt het gemeentelijk bureau Integriteit ingeschakeld. In het kader van de meldplicht datalekken is er een mailadres beschikbaar gesteld waar medewerkers eventuele datalekken, of vermoeden van datalekken, kunnen melden. De mail die op dit mailadres binnenkomt wordt actief gemonitord door de Security Officer. 6.5 Clear en Clean Desk Policy De gemeente Amsterdam hanteert de standaard Clear Desk Policy zoals vernoemd in de BIG. Samengevat houdt de Clear Desk Policy minimaal het volgende in: Bij het (tijdelijk) verlaten van de werkplek wordt vertrouwelijke, privacygevoelige en/of bedrijf kritische informatie opgeborgen en wordt de werkplek afgesloten; Vertrouwelijke en/of privacygevoelige informatie wordt bewaard in een deugdelijk af te sluiten kast of kluis; Werkstations mogen niet toegankelijk zijn voor onbevoegden wanneer zij onbeheerd achterblijven, deze dienen gelocked te worden; Flexwerkplekken dienen na het einde van de dag of werktijd schoon achter gelaten te worden. Persoonlijke spullen kunnen overdag in een locker worden opgeborgen maar moeten aan het einde van de dag/werktijd weer worden meegenomen. Voor flexwerkplekken geldt verplicht de Clean Desk Policy; Vertrouwelijke en/of privacygevoelige informatie wordt na het afdrukken onmiddellijk van de printer verwijderd; Fotokopieerapparaten worden buiten kantooruren afgesloten of op een andere manier beveiligd tegen ongeautoriseerd gebruik. 10
11 7 Logische Toegangsbeveiliging Doelstelling is het voorkomen van ongeautoriseerde toegang tot informatie en informatiesystemen (applicaties): ter bescherming van de vertrouwelijkheid van de informatie; ter voorkoming van ongeautoriseerde en ongewenste wijzigingen, vernieling of vernietiging van informatie of programmatuur en; ter voorkoming van verstoringen van het normale bedrijfsproces. Mogelijkheden tot controle en beveiliging dienen zoveel mogelijk buiten de applicaties te worden gehouden, en dienen bij voorkeur dus niet in de aanwezige apparatuur of standaard besturingsprogrammatuur te worden geïmplementeerd. 7.1 Beleid ten aanzien van logische toegangsbeveiliging Om effectieve toegangscontrole tot vertrouwelijke en gevoelige ICT-diensten en -gegevens te kunnen implementeren en onderhouden, dient elke beheerder van bedrijfskritische applicaties te beschikken over duidelijk beleid m.b.t. de toewijzing van bevoegdheden en de wijze van informatieverspreiding. Het toegangsbeleid bestaat uit de volgende kernpunten: 1. Het gebruik van speciale bevoegdheden dient te worden beperkt en beheerd. Deze bevoegdheden mogen alleen worden toegewezen aan personen in die gevallen waarin dit echt nodig is ( need to use ) en dienen per toewijzing te worden bekeken en vastgelegd; 2. Het verantwoordelijke (lijn)management dient te toetsen of de privileges door de ICTbeheersorganisatie conform de aanvraag voor toekenning of verwijdering zijn doorgevoerd; 3. Omwille van de herleidbaarheid van acties van personen, dient iedereen gebruik te maken van persoonsgebonden gebruikersnamen; 4. Het gebruik van gebruikersnamen voor of door meerdere personen is niet toegestaan. Ook het gebruik van generieke gebruikersnamen is niet toegestaan (denk bijvoorbeeld aan gebruikersnamen als Uitzendkracht1 of testgebruiker 0.); 5. Toegangsrechten worden alleen verleend op basis van de rol of functie die de betrokken medewerker vervult. Door vooraf duidelijk te maken welke toegangsrechten behoren tot welke functie, kan de juiste set aan gebruikersrechten worden toegekend; 6. De verantwoordelijkheid voor de controle op de juistheid en volledigheid van de uitgereikte gebruikersnamen en rechten ligt bij het lijnmanagement (RVE- en teammanager); 7. Beperkingen van toegangsrechten dienen zoveel mogelijk technisch te worden afgedwongen en zo weinig mogelijk procedureel of organisatorisch. 11
12 7.2 Management van toegangsrechten / autorisatiebeheer Alle gebruikers worden er, via de Gedragscode van de Gemeente Amsterdam en de Gedragscode Elektronische Communicatiemiddelen als onderdeel van het Handboek HRM, op gewezen dat zij zorgvuldig met de aan hen verstrekte wachtwoorden moeten omgaan. De procedures voor het wijzigen van wachtwoorden worden periodiek onder de aandacht gebracht via het intranet Registratie van gebruikers Iedere gebruiker krijgt bij indiensttreding de beschikking over een persoonlijke gebruikersnaam. Bij indiensttreding worden de toegangsbevoegdheden en systeemprivileges volgens een vastgestelde autorisatie matrix toegekend. De direct leidinggevende dient hiervoor een verzoek in. Bij dienstbeëindiging of bij wijziging van functie van personeel worden toegekende toegangsbevoegdheden en systeemprivileges met onmiddellijke ingang verwijderd. De direct leidinggevende is hierbij verantwoordelijk voor de melding van het vertrek van de medewerker aan het Servicehuis Personeel. Het bedrijfsbureau van Bedrijfsbureau Staf heeft in deze procedure een registrerende en controlerende rol Toegang tot netwerk(diensten) Het netwerk van de gemeente Amsterdam is bedoeld om aan de zakelijke behoefte van haar medewerkers te voldoen. Het is de medewerkers niet toegestaan de beschikbare Internetvoorzieningen te misbruiken voor privédoeleinden en onbetamelijk gebruik. In de gevallen dat door virussen een tijdelijke of permanente dreiging ontstaat voor de continuïteit van de dienstverlening van de gemeente kan worden besloten het gebruik van Internet verder te beperken of zelfs Internet toegang geheel af te sluiten. Bij de systemen en applicaties met de classificatie hoog voor Vertrouwelijkheid geldt dat als vertrouwelijke informatie over een publiek netwerk wordt getransporteerd, het voor derden niet mogelijk moet zijn om de (persoons)gegevens die de gemeente over het netwerk transporteert, te kunnen lezen Toegang tot werkstations Toegang tot informatie systemen verloopt via een beveiligde inlogprocedure. Inlogprocedures zijn bedoeld om het risico van ongeautoriseerde toegang te beperken. Het maximale aantal inlogpogingen wordt beperkt tot 3. Het is niet mogelijk om toegang te krijgen tot het netwerk van de gemeente Amsterdam zonder dat de inlogprocedure succesvol is doorlopen Werkstations in publieke ruimtes Werkstations of klanten pc s, in publieke ruimten van bijvoorbeeld de Stadsloketten, mogen geen toegang verschaffen tot het netwerk en informatiesystemen van de gemeente Amsterdam. Dit geldt tevens voor de openbare Wifi-voorzieningen. 12
13 7.2.5 Toegang tot informatiesystemen Identificatie en authenticatie van de eindgebruikers vindt plaats op basis van een unieke en persoonsgebonden gebruikersnaam. Nadat een nieuw wachtwoord is verstrekt dient dit direct na eerste inlog te worden gewijzigd door de medewerker. Het wachtwoord zal iedere drie maanden door de medewerker moeten worden gewijzigd. Dit proces wordt automatisch afgedwongen Controle op toegangsrechten ICT heeft middelen tot haar beschikking om het (on)juist gebruik te detecteren. Monitoring vindt plaats a.d.h.v. de toegangslogboeken. Deze toegangslogboeken zijn per definitie niet persoonsgebonden. Uitsluitend na formele opdracht van bevoegde instanties wordt overgegaan tot het loggen van acties van individuen. Dit conform de regels van de gedragscode Elektronische Communicatiemiddelen en het Reglement Bedrijfsmiddelen. Voor leveranciers van informatiesystemen geldt dat zij toegangslogboeken, aan de hand van wettelijke bepalingen en normen die de gemeente Amsterdam stelt, dienen in te richten. De afdeling ICT controleert periodiek welke gebruikers gedurende een periode van een aantal maanden geen gebruik hebben gemaakt van de toegangsrechten tot het netwerk. Van deze gebruikers wordt het account tijdelijk onbruikbaar gemaakt. De controle op juistheid van toegangsrechten behoort tot de verantwoordelijkheid van de (proces)eigenaren van de applicatie. Zij moeten hierover verantwoording af leggen aan het MT Gebruik van (controle)hulpmiddelen De normale eindgebruiker heeft geen toegang tot de systeemprogramma s waarmee controles in systemen en toepassingen kunnen worden doorbroken. Deze systeem(beheer)programma s kennen een eigen bescherming, waarbij het voor eindgebruikers niet mogelijk is de programma s te benaderen en/of te starten Toegang van derden bij uitbestede diensten Ook derden moeten voldoen aan het beschreven toegangsbeleid. Afspraken over toegang van derden tot de ICT voorzieningen worden in een SLA en in een integriteitverklaring vastgelegd, waarin alle noodzakelijke beveiligingsvoorwaarden zijn gespecificeerd. In het contract met de derde partij wordt verwezen naar het bestaan van de SLA. Bij uitwisseling van persoonsgegevens is het verplicht om een bewerkersovereenkomst af te sluiten. 13
14 8 Logging en rapportages Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft rapportages ontwikkeld over het gebruik van Suwinet-Inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker kan worden nagegaan. De volgende gegevens worden gelogd: het tijdstip van iedere log-in en log-out en andere actie; de gebruikersnaam van degene die inlogt/uitlogt; elk BSN (of andere zoeksleutel) waarvan gegevens worden opgevraagd; elke actie, zoals de bekeken kolom- of overzichtspagina s. Het doel van deze logging is: tegengaan en controleren van onrechtmatige, onregelmatige of doel overschrijdende verwerking. De gebruikers van Suwinet-Inkijk moeten op de hoogte zijn dat over het gebruik gegevens worden verzameld en vastgelegd. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-Inkijk: Het bestaan van de logging; De (aard van de) gegevens die binnen deze applicatie worden gelogd; Doelen van de logging; Dat de gelogde gegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze zijn vastgelegd; De wijze en het moment waarop en door wie een onrechtmatig of doel overschrijdend gebruik van het Suwinet-Inkijk wordt geconstateerd. In het kader van de beveiliging worden de gegevens over het gebruik van Suwinet-Inkijk periodiek uitgevraagd. Het kunnen de volgende gegevens betreffen: 1. Opvragingen van unieke BSN s; 2. Opvragingen buiten officiële openingstijden; 3. Gebruik van gebruikersbeheerrollen; 4. Gebruik van de zogenaamde zware rollen; 5. Accounts die langer dan 90 dagen niet actief zijn. De controle op verleende toegangsrechten en gebruik vindt minstens twee maal per jaar plaats. Interne controle op rechten en gebruik van Suwinet en analyseren van de van het BKWI verkregen informatie over het gebruik van Suwinet gegevens. Er worden tenminste 4 maandelijks logging gegevens opgevraagd. Waar dat kan zonder privacy regels voor medewerkers van de gemeente te schaden, gebeurt dat steekproefsgewijs op accountniveau. Deze rapportage wordt getoetst door de Suwinet security officer conform een vooraf vastgesteld toetsingskader. De bevindingen worden vastgelegd in een verslag. Rapportage aan DT WPI, daarna via manager IV Sociaal naar de stedelijk directeur Sociaal. De CISO neemt kennis van de resultaten. 14
15 9 Gedragsregels gebruik Suwinet Voor het werken met en de omgang met persoonsgegevens is vanuit de overheid een aantal regels opgesteld, die zijn neergelegd in diverse wet- en regelgeving. Voor medewerkers die Suwinet raadplegen, gelden de gedragsregels zoals opgenomen in bijlage 1 Gedragsregels Suwinet-inkijk. 9.1 Verantwoording Dit beveiligingsbeleid vormt een bijlage bij het Suwinet Informatiebeveiligingsplan. De controle op gebruik van Suwinet wordt gewaarborgd door de controles die in het Informatiebeveiligingsplan staan beschreven. Bij het opstellen van de bovengenoemde rapportage wordt eveneens gerapporteerd over het proces van opvragen c.q. het controleren van logging-gegevens. Aldus vastgesteld door burgemeester en wethouders van de gemeente Amsterdam, Maart
16 Bijlage 1 Gedragsregels Suwinet-Inkijk De gemeente Amsterdam heeft beschikking over informatiebronnen, die door derden beschikbaar zijn gesteld, om het werk goed te kunnen doen. Die bronnen gebruiken we in enkele van de systemen. Een voorbeeld van zo n systeem is Suwinet-Inkijk. Suwinet-Inkijk maakt gebruik van gegevens van burgers die zeer privacygevoelig zijn. Burgers mogen zonder meer verwachten dat hun gegevens alleen maar worden gebruikt voor wettelijke taken en bevoegdheden. Dit vraagt veel van de medewerker. Daarom herhalen we de regels voor gebruik van Suwinet-Inkijk regelmatig. De regels Het is zonder meer verboden om het Suwinet-Inkijk te raadplegen: Omdat je nieuwsgierig bent; Omdat een partner of bekende het vraagt; Om te kijken wie op het adres van de buren staat ingeschreven; Om een BSN te achterhalen; Om informatie in te zien van andere dan eigen klanten. Maatregelen Om te helpen voorkomen dat je, ondanks goede wil, toch een verkeerde beslissing neemt, herhalen we de regels voor gebruik van systemen als Suwinet regelmatig. We komen, helaas, ook misbruik van deze bronnen of systemen tegen binnen onze rve s. Iedere keer dat dit gebeurt is er één te veel. Als onze informatiebronnen voor niet-zakelijke doeleinden worden ingezien of gebruikt, zal in de regel onvoorwaardelijk strafontslag worden opgelegd. 16
17 In gesprek blijven Het belangrijkste is dat we ons allemaal blijven inzetten om de systemen en bronnen die aan ons beschikbaar zijn gesteld op een juiste manier te gebruiken dan wel te raadplegen. We moeten hierover met elkaar in gesprek blijven. Het werkoverleg is bij uitstek een moment om dat te doen, maar zeker ook regelmatig overleggen met jouw collega s tijdens het werk kan hierbij helpen. Voorwaarden voor het gebruik van Suwinet-Inkijk Je kunt alleen gegevens opvragen uit Suwinet-Inkijk nadat je hiertoe schriftelijk een autorisatie is toegekend. Je mag alleen die gegevens raadplegen of muteren, overeenkomstig de geldende instructies, waartoe jouw autorisatie reikt en welke je nodig hebt voor de directe uitoefening van de aan jou door jouw manager opgedragen taken. Je bent op de hoogte van de voorschriften dat de bevraagde gegevens over personen die staan vermeld met een indicatie geheim alleen kunnen worden verstrekt met inachtneming van die indicatie. Je bent op de hoogte van de voorschriften dat het jou niet is toegestaan hardcopy s te printen en te verstrekken aan personen, bedrijven en instanties. Je draagt er zorg voor dat bij het (tijdelijk) verlaten van de werkplek, het werkstation wordt afgesloten. Je wordt er op gewezen dat het uitdrukkelijk verboden is jouw gebruikersnaam en password aan een andere persoon kenbaar te maken, ook al verzoekt jouw manager jou om dat te doen Je wordt er op gewezen dat alle handelingen en verrichtingen in Suwinet-Inkijk door middel van jouw autorisatie worden geregistreerd en vastgelegd en dat dit steekproefsgewijs wordt gecontroleerd. De verantwoordelijke manager is verplicht, zodra de werkzaamheden waartoe een gebruiker is geautoriseerd worden beëindigd, dan wel zijn/haar dienstbetrekking wordt gewijzigd, de autorisatie voor Suwinet van de medewerker te laten beëindigen. 17
Beveiligingsplan Suwinet, Kolom Werk en Inkomen 2018
Beveiligingsplan Suwinet, Kolom Werk en Inkomen 2018 Pagina 1 van 11 Inhoudsopgave 1. Inleiding 2. Kader voor het Suwinet beveiligingsplan 3.1 Gebruikers voor Suwinet inkijk 3.2 Functie raadplegen 3.3
Nadere informatie4. Gedragsregels bij beveiliging van persoonsgegevens 7
Beveiligingsplan Suwinet Versie 0.2 2015 Inhoudsopgave 1. Inleiding 3 2. Kader voor de beveiliging Suwinet 4 3.1 Gebruikers voor Suwinet-inkijk 5 3.2 Functie raadplegen 5 3.3 Logging rapportages 5 4. Gedragsregels
Nadere informatieBeveiligingsnota Suwinet 2014
Beveiligingsnota Suwinet 2014 Boxmeer, 3 april 2014 I-SZ/2014/260. Inhoudsopgave 1. Inleiding...3 2. Verdeling verantwoordelijkheden medewerkers afdeling Sociale Zaken...4 3. Gebruik Suwinet-Inkijk...4
Nadere informatieBeveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren
Beveiligingsplan SUWI inkijk Gemeente Boxtel / Gemeente Haaren December 2013 INHOUDSOPGAVE 1. Inleiding 3 2. Verdeling verantwoordelijkheden medewerkers afdeling Maatschappelijke Ontwikkeling 4 3. Autorisaties
Nadere informatieInformatie over logging gebruik Suwinet-Inkijk
Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:
Nadere informatieHandreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen
Handreiking Suwi autorisaties voor het gemeentelijk domein Werk en Inkomen Versie 2.0 mei 2019 Inhoud 1. Inleiding... 3 2. Doel... 3 3. Zoeksleutels... 3 4. Wat moet de gemeente doen?... 4 4.1. Voorbereidend:
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieOfficiële uitgave van het Koninkrijk der Nederlanden sinds 1814.
STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 18831 9 juli 2013 Regeling van de Minister van Sociale Zaken en Werkgelegenheid van 1 juli 2013, 2013-0000084564, tot
Nadere informatie2015; definitief Verslag van bevindingen
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016
Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten Startbijeenkomsten 12 provincies september 2016 Agenda Introductie startbijeenkomst; Wat is Suwinet? Achtergrond programma
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatieSteller: M. de Lange Versie: 4 Datum: 13 mei 2013 (aangepast) Beveiligingsplan Suwinet afdeling Werk Inkomen en Zorg
Steller: M. de Lange Versie: 4 Datum: 13 mei 2013 (aangepast) Beveiligingsplan Suwinet afdeling Werk Inkomen en Zorg 1. Inleiding Het Bureau Keteninformatisering werk en inkomen (BKWI), de stichting Inlichtingenbureau
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatieBeveiligingsplan Suwinet Sociale Zaken gemeente Heerde 2014
Beveiligingsplan Suwinet Sociale Zaken gemeente Heerde 2014 Beveiligingsplan Suwinet Sociale Zaken gemeente Heerde 2014 Pagina 1 van 13 Inhoud... 1 Hoofdstuk 1 Inleiding... 3 Hoofdstuk 2 Kader voor het
Nadere informatierliiiiihihhiiiivi.ilhn
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Terneuzen Postbus 35 4530 AA TERNEUZEN rliiiiihihhiiiivi.ilhn Postbus 90801
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatieDatum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W
OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatieInhoudsopgave. Beveiligingsbeleid en beveiligingsplan Suwinet 2016 gemeente Heerde Pagina 2 van 17
Inhoudsopgave 1. Inleiding informatiebeveiligingsbeleid Suwinet 2016 3 1.1 Suwinet 3 1.2 Aanleiding aanpassing beveiligingsplan 3 1.3 Leeswijzer 4 2. Kader voor het Suwinet informatiebeveiligingsbeleid
Nadere informatieBeveiligingsplan bij het Convenant voor het Veiligheidshuis Twente
Beveiligingsplan Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente Beveiligingsplan 1. Inleiding 1.1 Aanleiding De samenwerking conform het convenant Veiligheidshuis Twente wordt ondersteund
Nadere informatieHandreiking Nieuwe Suwi Autorisaties
Handreiking Nieuwe Suwi Autorisaties Inhoud 1. Inleiding 3 2. Doel 3 3. De huidige situatie 3 4. Zoeksleutels 4 5. Wijzigingen: nieuwe pagina s en nieuwe indeling 4 6. Wat moet de gemeente doen? 5 7. Communicatie
Nadere informatieInspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509
Nadere informatiePROTOCOL OMGAAN MET VERTROUWELIJKE INFORMATIE
PROTOCOL OMGAAN MET VERTROUWELIJKE INFORMATIE Vastgesteld in bestuursvergadering VSGH 8 mei 2018 Inhoudsopgave 1. Inleiding 2. Privacy: uitgangspunten en regelgeving 2.1 Doelstelling VSGH 2.2 AVG 2.3 Doeleinden
Nadere informatieBeveiligingsplan Suwinet Gemeente Oegstgeest
Beveiligingsplan Suwinet Gemeente Oegstgeest Maart 2016 Inhoudsopgave 1. Inleiding... 2 1.1 Kader... 2 1.2 Vaststelling... 3 2. Gebruikers van Suwinet... 4 2.1 Rollen en taken... 4 2.2 Autorisatie... 5
Nadere informatieBeveiligingsplan Suwinet Gemeente Oldebroek 2014
Beveiligingsplan Suwinet Gemeente Oldebroek 2014 November 2014 Kenmerk 187358/190539 Opsteller Beleid&Ontwikkeling/M. Beker Versie 23 oktober 2014 Pagina 2 van 13 Inhoudsopgave 1 Inleiding...5 1.1 Suwinet...
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieInhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van
Privacy beleid Versie 2018 Voorwoord Kinderopvang de Voetstapjes hecht veel waarde aan de bescherming van uw persoonsgegevens. Uw privacy vinden wij belangrijk en wij handelen dan ook in lijn met de Algemene
Nadere informatier'h'hil-lli'h'i'-i'l-ll-ll-ll
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Albrandswaard Postbus 1000 3160 GA RHOON r'h'hil-lli'h'i'-i'l-ll-ll-ll reg.
Nadere informatieCollege bescherming persoonsgegevens
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Midden-Drenthe z2015-00402 Openbare versie Rapport van bevindingen November 2015 DATUM November
Nadere informatie""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder
""1 Inspectie SZW Mmíïtene van Soàaìe Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Den Helder Postbus 36 1760 AA DEN HELDER Stuknummer: AI16.00180 Betreft Onderzoek
Nadere informatiePRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.
PRIVACYREGLEMENT Reglement betreffende de bescherming van persoonsgegevens van personen die door Re-integratie Leiden (RL) worden begeleid. De persoonsgegevens worden behandeld met inachtneming van hetgeen
Nadere informatieDatum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015
Nadere informatieStichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0
Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieHet Letselhuis gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatiePrivacyreglement. September 2010 Versie definitief HRM 1
Privacyreglement Artikel 1 Definities In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder: 1. de wet: de Wet bescherming Persoonsgegevens. 2.
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieBeveiligingsplan Halte Werk Suwinet-Inkijk
Beveiligingsplan Halte Werk Suwinet-Inkijk 2017 1. Inleiding Het Bureau Keteninformatisering Werk en Inkomen (BKWI), de stichting Inlichtingenbureau gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen
Nadere informatie... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte
x, 1 r W.~: = ë V InspectieSZW.V 3. St MinisterievanSocialeZakenen 1 Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Dalfsen Postbus Gemeer?raeäin 35 _, 7720 AA DALFSEN..... l. " l Directie
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieBWRI & Privacy waarborgen
BWRI & Privacy waarborgen BWRI & Privacy waarborgen Als u in de gemeente Midden-Groningen woont, kunt u bij onze uitvoeringinstantie BWRI terecht voor het aanvragen van een uitkering, ondersteuning bij
Nadere informatieMedi-Office gebruikt verschillende categorieën van persoonsgegevens.
Privacyverklaring U deelt uw persoonsgegevens met ons als u zelf met ons contact opneemt, of als wij contact met u opnemen in het kader van onze dienstverlening. Wij gaan zorgvuldig met deze gegevens om.
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieInformatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744
Nadere informatiePrivacy reglement publieke XS-Key
Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen
Nadere informatie~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
t.ahl {l_.,_ 1Sk'? \ ~\,A. 130 ~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid INGEKOMEN 1 0 FEB 2016 Gemeente Heusden > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl College bescherming persoonsgegevens Onderzoek naar de beveiliging
Nadere informatieNota Informatiebeveiligingsbeleid Wijzer 2015
Nota Informatiebeveiligingsbeleid Wijzer 2015 Beleid Informatiebeveiliging Wijzer 1 september 2015 1 1. Inleiding Wijzer is de uitvoeringsdienst Sociaal Domein van de gemeente Naarden, Muiden en Bussum
Nadere informatieRichtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon
Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon Inhoudsopgave 1. WAAROM DEZE RICHTLIJN... FOUT! BLADWIJZER NIET GEDEFINIEERD. 2. VOOR WIE... 2 3. INHOUD RICHTLIJN... 2 3.1 INLEIDING... 2 3.2 DOELGROEP...
Nadere informatiePrivacyreglement AMK re-integratie
Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste
Nadere informatieHoe geven wij dit als Kinderopvang Smile vorm:
Privacy beleid Kinderopvang Smile hecht veel waarde aan de bescherming van uw persoonsgegevens. In dit privacy beleid willen we heldere en transparante informatie geven over hoe wij omgaan met persoonsgegevens.
Nadere informatieCollege bescherming persoonsgegevens
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brummen z2015-00403 Openbare versie Rapport van bevindingen November 2015 DATUM November 2015
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieGebruik Suwinet, wat kan wel wat kan NIET?
Gebruik Suwinet, wat kan wel wat kan NIET? 1 Inhoud Aanleiding Suwinet mogelijkheden Raadplegen persoonsgegevens Waarborgen / regelgeving Geoorloofd gebruik Ongeoorloofd gebruik Inspanningen Werkgever
Nadere informatiePrivacyreglement Paswerk en Werkpas Holding BV
Privacyreglement Paswerk en Werkpas Holding BV Artikel 1. Definities. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder: 1. de wet: de Wet
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieBesluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP
CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieVraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?
Vragen en antwoorden Whitelist en escapefunctie voor GSD s v1.0 Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd? Antwoord: Het gebruik
Nadere informatieISO 27001:2013 Informatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES
Nadere informatiePRIVACYREGLEMENT AANDACHT ARBO BV. A. Verwerking persoonsgegevens. Paragraaf 1: Algemene bepalingen
PRIVACYREGLEMENT AANDACHT ARBO BV A. Verwerking persoonsgegevens Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming
Nadere informatiePrivacy Verklaring versie 01-10-2015
Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,
Nadere informatiePRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV
PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV Artikel 1. Definities In dit privacy reglement worden de volgende niet-standaard definities gebruikt: 1.1 XS-Key De
Nadere informatieInformatiebeveiligingsplan
Informatiebeveiligingsplan Suwinet 2014 Inhoud 1. Inleiding... 3 Definitie Informatiebeveiliging... 3 Algemeen... 3 Uitvoering en evaluatie... 4 Rolverdeling en bijbehorende verantwoordelijkheden... 4
Nadere informatiePrivacyreglement WIJ 3.0 Versie ; versie 1.4
Privacyreglement WIJ 3.0 Versie 18-01-2017; versie 1.4 ~ 1 ~ Inleiding WIJ 3.0 hecht grote waarde aan de privacy van medewerkers en deelnemers. Dit geldt zowel voor het bewaren, verstrekken en beveiligen
Nadere informatieRAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding
RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober 2012. Inleiding Medewerkers van Sociale Zaken beschikken over de mogelijkheid om gegevens van klanten te controleren
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatiePrivacyreglement. Begripsbepaling Artikel 1
Privacyreglement Begripsbepaling Artikel 1 In dit reglement wordt verstaan onder: a. AVG: de Wet algemene verordening gegevensbescherming; b. UWV: Uitvoeringsinstituut Werknemers Verzekeringen; c. Wet
Nadere informatieDocumentnummer: : Eindnotitie implementatie privacy
Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen 2016 1 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie.5 4.1 Training voor het sociaal
Nadere informatieInhoud. Beveiligingsbeleid Suwinet 2017 gemeente Heerde Pagina 2 van 18
Inhoud 1. Inleiding beveiligingsbeleid Suwinet... 3 1.1 Kader voor het Suwinet beveiligingsbeleid... 3 1.2 Aanleiding aanpassing... 3 2. Kaders beveiligingsbeleid Suwinet... 4 2.1 Rollen en gebruikers
Nadere informatieInformatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieGEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM
GEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM 30-07-2018 1 INHOUD Inleiding 3 1 Gedragsregels 4 2 Naleving van de code 6 2 INLEIDING Wat zijn digitale media? Onder digitale media verstaat Woonstad Rotterdam
Nadere informatieCollege bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle
College bescherming persoonsgegevens Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle z2015-00404 Openbare versie Rapport van bevindingen November 2015 DATUM November 2015
Nadere informatieProcedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010
Procedure Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk Auteur: Breeman Datum document: 16 mei 2007 Versie: 3.0 Status: Definitief Datum afdruk: 14 april 2010 Periodieke en specifieke rapportages
Nadere informatieIn dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.
Inleiding Nieuwe wet Per 1 januari 2013 is de invoering van de Wet aanscherping handhaving en sanctiebeleid SZW-wetgeving in het kort de Fraudewet - een feit. Doel van deze wet is een hardere aanpak van
Nadere informatiePrivacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)
Privacyreglement Het privacyreglement is een reglement ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistratie, gebaseerd op de Wet Bescherming Persoonsgegevens. Datum Januari
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatiePrivacyverklaring. LIMM Recycling Versie
2018 Privacyverklaring LIMM Recycling Versie1.0 1-5-2018 Inleiding Dit is de privacyverklaring van LIMM Recycling. In deze verklaring verschaft LIMM Recycling informatie over de persoonsgegevens die worden
Nadere informatiePrivacy statement ROM3D
Privacy statement ROM3D Dit is het Privacy Statement van Rom3D. Om je goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt Rom3D jouw persoonsgegevens. Rom3D
Nadere informatieToegangsrechten voor Suwinet-Inkijk
Toegangsrechten voor Suwinet-Inkijk Dit document geeft een overzicht van de pagina s op Suwinet-Inkijk voor (inter) gemeentelijke sociale diensten. Naast een korte uitleg van de inhoud van de pagina s
Nadere informatiePrivacyreglement personeelsinformatie gemeente Heerenveen
CVDR Officiële uitgave van Heerenveen. Nr. CVDR323272_1 26 mei 2017 Privacyreglement personeelsinformatie gemeente Heerenveen Privacyreglement personeelsinformatie gemeente Heerenveen Ter uitvoering van
Nadere informatieGegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG
Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Organisatie gegevenswisseling W&I: Suwinet 25.000 gebruikers Vrij lange historie,
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieOpenheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht
Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het
Nadere informatieProtocol Informatiebeveiliging en Datalekken (PID) Aloysius
Protocol Informatiebeveiliging en Datalekken (PID) Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet. Onderwerp: Protocol
Nadere informatiePrivacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)
Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door
Nadere informatieGEBRUIKERSVOORWAARDEN STOCKSPOTS PLATFORM
GEBRUIKERSVOORWAARDEN STOCKSPOTS PLATFORM TOEPASSELIJKHEID Artikel 1. Deze Gebruikersvoorwaarden tussen jou als deelnemer en/of gebruiker van het Stockspots platform. Door aanvraag van een gebruikers account
Nadere informatieRelease Suwinet-Inkijk versie 14.06
Release Suwinet-Inkijk versie 14.06 Donderdag 26 juni staat release v.14.06 van Suwinet-Inkijk gepland. Suwinet-Inkijk is die dag vanaf 18:00 uur niet beschikbaar. De werkzaamheden duren de hele avond.
Nadere informatie