Beleid uitwisseling van informatie

Transcriptie

1 Beleid uitwisseling van informatie Documentcode: Versie: 1.0 Versiedatum Gemaakt door: Goedgekeurd door: V-Classificatie: Coördinator informatiebeveiliging College van Burgemeester en Wethouders Intern document / Openbaar

2 Versiegegevens Datum Versie Gemaakt door Omschrijving van de aanpassing E. van Leuven Concept basisdocument Inhoudsopgave 1. INLEIDING DOEL, AFBAKENING EN DOELGROEP VERANTWOORDELIJKHEDEN, CONTROLE EN REFERENTIES CLASSIFICATIE VAN INFORMATIE OPENBARE INFORMATIE VERTROUWELIJKE INFORMATIE PERSOONSGEGEVENS BELEID UITWISSELING VAN INFORMATIE UITWISSELINGSVORMEN Mondelinge uitwisseling van informatie of andere berichtendiensten Social media Mobiele apparaten Verwijderbare media Geautomatiseerde elektronische uitwisseling van informatie Printen Transporteren informatie op papier Instrueren medewerkers UITWISSELINGSOVEREENKOMSTEN

3 1. Inleiding Zonder uitwisseling van informatie kunnen medewerkers van de gemeente Velsen hun werk niet naar behoren doen. Het uitwisselen van informatie binnen de gemeente vindt veelvuldig plaats, maar dit vindt ook plaats met externe partijen zoals inwoners, notarissen, projectontwikkelaars, ambassades, ketenpartners en partners in samenwerkingsverbanden. Een andere vorm van uitwisseling van informatie is het, buiten de bedrijfsgebouwen, meenemen van informatie om het elders te gebruiken, bijvoorbeeld bij vergaderingen of presentaties. Dit beleidsdocument is bedoeld om de gewenste handelwijze bij uitwisseling van verschillende soorten informatie vast te leggen en kenbaar te maken. 2. Doel, afbakening en doelgroep Bij het uitwisselen van informatie bestaat het risico dat onbevoegden inzage krijgen in informatie die niet voor hun ogen bedoeld is. Dit kan voor de gemeente Velsen en andere betrokkenen ernstige gevolgen hebben wanneer die informatie vervolgens voor malafide doeleinden wordt misbruikt. Met een zorgvuldige handelwijze wordt bereikt dat het risico voor onbevoegde inzage tijdens het uitwisselen van informatie wordt geminimaliseerd. Dit document is van toepassing op alle medewerkers en inhuur derden van de gemeente. 3. Verantwoordelijkheden, controle en referenties Het college van B&W is bestuurlijk verantwoordelijk voor het beleid uitwisseling van informatie. Eigenaar van dit document is de gemeentesecretaris en behoort uit dien hoofde dit document periodiek te controleren en indien nodig te (laten) herzien. Het beheer van dit document ligt bij de CISO die belast is met het actueel houden van dit document en voor archivering en distributie naar de organisatie. Implementatie en naleving van dit beleid ligt bij de leidinggevenden. Dit document treedt in werking na formele goedkeuring van het college van B&W. Indien naleving van dit document getest wordt, behoort aandacht te worden besteed aan: Publicatie en zichtbaarheid beleid voor alle medewerkers Beoordelen omvang beveiligingsincidenten als gevolg van uitwisseling informatie Interviews met leidinggevenden Referenties andere documenten: Tactische BIG norm; clausule 10.8 IBD handreiking mobile Device Management IBD handreiking Mobiele gegevensdragers 3

4 4. Classificatie van informatie Grofweg is informatie te verdelen in openbare en vertrouwelijke informatie Openbare informatie Voor openbare informatie is geen speciale handelwijze nodig. Sterker nog, het kan zelfs wenselijk zijn dat iedereen die hiervoor belangstelling heeft kennis kan nemen van openbare informatie. Hierbij kan gedacht worden aan formeel vastgestelde bestuurlijke plannen of beleidsstukken die via de openbare website van de gemeente zijn vrijgegeven Vertrouwelijke informatie Vertrouwelijke informatie is verder onder te verdelen in verschillende classificatieniveaus, beschreven in de procedure dataclassificatie van de gemeente Velsen. Het hanteren van verschillende classificatieniveaus draagt bij tot een betere afstemming tussen beveiligingsmaatregelen en het gewenste niveau van beveiliging. De onderverdeling in vertrouwelijke informatie heeft overigens voor de handelwijze voor het uitwisselen van vertrouwelijke informatie geen effect. De uitwisseling van vertrouwelijke informatie moet in alle gevallen voorkomen dat onbevoegden kennis kunnen nemen van vertrouwelijke informatie. Onder vertrouwelijke informatie worden gegevens of documenten verstaan die vanwege geldende wetgeving niet openbaar gemaakt mogen worden, waarvoor geheimhouding is opgelegd, alleen toegankelijk zijn voor daarvoor geautoriseerde medewerkers en door hen alleen voor de uitvoering van hun publiekrechtelijke taak gebruikt mogen worden, of onder een embargo vallen dat door de eigenaar van de gegevens is opgelegd Persoonsgegevens Voor persoonsgegevens die ook als vertrouwelijk zijn geclassificeerd geldt in het bijzonder de Wet bescherming persoonsgegevens (Wbp). Bij de uitwisseling van persoonsgegevens moet deze wet worden nageleefd en daarbij is aandacht voor de beveiliging van groot belang. Door onzorgvuldig handelen tijdens het uitwisselen van vertrouwelijke informatie in de vorm van persoonsgegevens (denk aan het sociaal domein) kan al gauw sprake zijn van een datalek met alle nadelige gevolgen van dien. 4

5 5. Beleid uitwisseling van informatie 5.1. Uitwisselingsvormen Er zijn vele manieren om informatie uit te wisselen. In dit beleidsdocument is dit beperkt tot de volgende handelwijzen: Mondelinge uitwisseling van informatie Versturen berichten via of andere berichtendiensten Publiceren berichten op social media Opslaan en transporteren informatie via mobiele apparaten Opslaan en transporteren informatie via verwijderbare apparaten Geautomatiseerde elektronische uitwisseling van informatie Uitprinten informatie op papier Transporteren informatie op papier Instrueren medewerkers Mondelinge uitwisseling van informatie Gesprekken (ook telefonisch) waarin vertrouwelijke informatie aan de orde komt, dienen op een wijze gevoerd te worden dat de kans op afluisteren wordt geminimaliseerd. Medewerkers worden hiervoor geïnstrueerd of andere berichtendiensten Aan het versturen van vertrouwelijke informatie via en andere berichtendiensten kleven risico s omdat het mogelijk is dit te onderscheppen of omdat de informatie op een plek wordt opgeslagen waarvan de veiligheid niet is gegarandeerd. Bij voorkeur worden deze kanalen niet gebruikt voor het versturen van vertrouwelijke informatie. Het kan echter niet altijd worden vermeden. De gemeente Velsen hanteert in die gevallen een werkinstructie (Encryptie vertrouwelijke informatie via ) om vertrouwelijke informatie via te versleutelen volgens een gangbare sleuteltechniek. Wachtwoorden om de beveiliging op te heffen behoren via een ander kanaal aan de ontvanger te worden toegezonden (denk aan SMS, WhatsApp of telefoon). Medewerkers behoren vooraf over de werkwijze te worden geïnstrueerd en er behoren zodanige maatregelen te zijn getroffen dat het automatisch doorsturen van interne naar externe (privé) adressen wordt voorkomen. Deze maatregel is wat omslachtig (extra handelingen), maar is gelet op het doel noodzakelijk. 5

6 Social media Vertrouwelijke informatie dient niet te worden gepubliceerd op sociale media. Ook niet als het om besloten groepen gaat. Deze vorm van informatie-uitwisseling leent zich alleen voor openbare informatie. Daarbij is het belangrijk dat medewerkers op de hoogte zijn van richtlijnen over de wijze waarop zij zich op sociale media over zaken betreffende de gemeente Velsen kunnen uitlaten (weergegeven in het document Richtlijn voor het gebruik van internet, en social media, publicatie op intranet Velsen) Mobiele apparaten Bedrijfsinformatie van de gemeente Velsen mag alleen op mobiele apparaten worden meegenomen indien dit apparaat in beheer en eigendom is van de gemeente Velsen of geautoriseerd is in het kader van het gemeentelijk BYOD-beleid (BYOD is de afkorting van Bring Your Own Device). In beide gevallen mag vertrouwelijke informatie alleen binnen de beveiligde applicaties beschikbaar zijn die daarvoor door Automatisering op het apparaat zijn geïnstalleerd. Gebruikers worden geïnstrueerd over veilig gebruik van bedrijfsinformatie op deze apparaten, vooral in publieke gelegenheden. Verlies of diefstal moet direct nadat dit is geconstateerd als beveiligingsincident worden gemeld bij de coördinator informatiebeveiliging van de gemeente Velsen, zodat direct actie kan worden ondernomen om de aanwezige informatie op het betreffende apparaat te wissen en om na te gaan of sprake is van een mogelijk datalek volgens de Wbp Verwijderbare media Verwijderbare media zoals usb-sticks, geheugenkaarten, cd s en dvd s kunnen worden gebruikt voor opslag van bedrijfsinformatie en als zodanig worden getransporteerd of verstuurd naar derden. Hieraan kleven echter wel de nodige risico s zoals onbevoegde inzage in vertrouwelijk informatie, of infectie van het netwerk met schadelijke software. Daarom dient aan een aantal regels te worden voldaan: Verwijderbare media verstrekt door de gemeente worden geregistreerd en er wordt bijgehouden bij wie deze zich bevinden. Het gebruik van privé usb-sticks is niet toegestaan indien daarop vertrouwelijke informatie van de gemeente moet komen te staan. Vertrouwelijke informatie mag alleen op door de gemeente goedgekeurde verwijderbare media en moet versleuteld zijn volgens de daarvoor gangbare technieken. Geregistreerde media met vertrouwelijke gegevens mogen alleen de gemeente verlaten na goedkeuring van de eigenaar. Het bewaren van verwijderbare media geschiedt overeenkomstig de eigenschappen van de media in een veilige omgeving. Verwijderbare media die vertrouwelijke informatie bevatten, moet voldoen aan de NBV (Nationaal Bureau voor Verbindingsbeveiliging) standaard. 6

7 Usb-sticks moeten bij gebruik automatisch worden gescand op malware om besmetting van het netwerk te voorkomen. Procedures voor het beheer van mobiele media hebben minimaal aandacht voor het veilig verwijderen van informatie voordat de mobiele media de organisatie verlaat of in een ander proces gebruikt wordt. Als verwijderen van informatie van mobiele gegevensdragers door een derde partij gebeurt, dient er een controlemechanisme ingeregeld te zijn om te waarborgen dat media ook daadwerkelijk veilig gewist worden. Er mag alleen gebruik worden gemaakt van, door de coördinator informatiebeveiliging goedgekeurde, bedrijven voor het verwijderen van informatie van media. Bij voorkeur wordt de gegevensdrager met vertrouwelijke informatie door een gemeentelijke koerier of een particuliere koerier aangetekend getransporteerd, waarbij een neutrale beschermende verpakking wordt gebruikt. Indien het om een magnetische gegevensdrager (bijvoorbeeld harddisk) gaat zijn maatregelen genomen om de data te beschermen tegen magnetische invloeden. De koerier gaat bij voorkeur via de kortste weg. Dezelfde dag moet er terugmelding plaatsvinden door de ontvanger van de media. Indien er versleuteling plaatsvindt worden de sleutels via een ander kanaal naar de ontvanger verzonden en niet tegelijkertijd met de mobiele gegevensdrager. Een mobiele gegevensdrager, met vertrouwelijke informatie, die verloren raakt, dient altijd te worden gemeld als beveiligingsincident aan de coördinator informatiebeveiliging voor het treffen van responsacties. Voor mobiele gegevensdragers die gebruik worden voor backup & recovery (externe harddisks, backup tapes) gelden de beveiligingseisen zoals die zijn gesteld in de procedure backup & recovery van de gemeente Velsen Geautomatiseerde elektronische uitwisseling van informatie Geautomatiseerde informatie-uitwisseling tussen systemen neemt hand over hand toe. Dit beperkt zich niet tot de systemen binnen de organisatie. Er vindt ook veel informatie-uitwisseling plaats met externe systemen. Bijvoorbeeld de levering en ontvangst van gegevens aan diverse landelijke voorzieningen van basisregistraties. Alle verbindingen die hiervoor nodig zijn, zijn beveiligd door middel van (PKI) certificaten of het gebruik van VPN (Virtual Private Network) Printen Uitprinten van documenten kan alleen plaatsvinden wanneer de medewerker zich met het toegangsmiddel bij de printer op de gang aanmeldt. In enkele gevallen zijn er printers in werkruimtes geplaatst (bijvoorbeeld in de kamers van de wethouders). Hiervoor is aanmelding met een toegangsmiddel niet nodig. Medewerkers worden geïnstrueerd om, bij het uitprinten van vertrouwelijke documenten aanwezig te blijven en de documenten niet onbeheerd bij de printer te laten liggen. 7

8 Transporteren informatie op papier Vertrouwelijke informatie op papier mag niet buiten de fysieke begrenzing van de organisatie getransporteerd worden zonder de uitdrukkelijke toestemming van de eigenaar en indien dit voor de uitoefening van de functie noodzakelijk is. Originele documenten mogen de organisatie niet verlaten. Alleen kopieën mogen hiervoor worden gebruikt Instrueren medewerkers Veilige uitwisseling van informatie kan slechts deels worden geregeld met behulp van technische middelen. Veel hangt af de handelwijze en beveiligingsbewustzijn van de medewerkers van de Gemeente Velsen. Het uitwisselen van informatie behoort als vast thema te zijn opgenomen in de bewustwordingsprogramma s van de gemeente en te zijn afgestemd op bijzondere doelgroepen die dagelijks met vertrouwelijke informatie omgaan zoals burgerzaken en het sociaal domein. De leidinggevenden zijn zelf verantwoordelijk voor het op peil houden van het beveiligingsbewustzijn op het gebied van informatie-uitwisseling van hun personeel Uitwisselingsovereenkomsten Met externe partijen zoals ketenpartners in het sociaal domein of samenwerkingsverbanden zijn vooraf afspraken gemaakt over het structureel uitwisselen van informatie en vastgelegd in een uitwisselingsovereenkomst. Het principe is dat er geen uitwisseling van informatie plaatsvindt indien daarover geen afspraken zijn vastgelegd. In deze overeenkomsten moet worden aangegeven welke beveiligingsmaatregelen passend worden geacht voor de uitwisseling van bepaalde soorten gegevens (denk aan classificatie). Beide partijen dienen zich onvoorwaardelijk te verbinden om deze beveiligingsmaatregelen te treffen. Wat wel of niet passend is, vloeit voort uit de dataclassificatie en risicoanalyse. verantwoordelijkheden voor beheersing en melding van doorgifte, verzending en ontvangst; procedures voor kennisgeving aan de afzender van doorgifte, verzending en ontvangst; procedures voor het waarborgen van traceerbaarheid en onweerlegbaarheid; technische minimumeisen voor verpakking en verzending; identificatienormen voor de vervoerder; verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten, zoals bij verlies van gegevens; gebruik van een classificatieschema, om ervoor te zorgen dat de betekenis van labels correct wordt begrepen en dat informatie op de juiste manier wordt beschermd; bepalen van de verantwoordelijke voor gegevens en programmatuur en van de verantwoordelijkheden voor gegevensbescherming, auteursrechten, licenties van programmatuur en vergelijkbare aspecten; 8

9 technische normen voor het schrijven en lezen van informatie en programmatuur; bijzondere beheersmaatregelen om gevoelige gegevens te beschermen, zoals cryptografische sleutels. Er is een overzicht van alle afgesloten uitwisselingsovereenkomsten. Het beheer van dit overzicht ligt bij de afdeling Automatisering. 9