Beveiligingsplan Halte Werk Suwinet-Inkijk

Transcriptie

1 Beveiligingsplan Halte Werk Suwinet-Inkijk 2017

2 1. Inleiding Het Bureau Keteninformatisering Werk en Inkomen (BKWI), de stichting Inlichtingenbureau gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur gebaseerd op de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI) en bijbehorende regelgeving. Met de faciliteit Suwinet-Inkijk worden gegevens op basis van burgerservicenummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat daarbij om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking (willen) komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Om de SUWI keten effectief te laten functioneren moeten partijen er op kunnen vertrouwen dat hun gegevens door de partners in de SUWI-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle Suwinet partijen is dit met beveiligingsvoorschriften uitgewerkt in bijlage XIV van de regeling SUWI. Gemeenten en organisaties die werken met Suwinet dienen zich in dit kader te verantwoorden over het feit of de gemeente/organisatie voldoet aan de gestelde beveiligingseisen. Gemeenten en organisaties dienen daartoe een beveiligingsplan op te stellen dat regelmatig geactualiseerd moet worden. Met dit Beveiligingsplan Halte Werk Suwinet- Inkijk (hierna: beveiligingsplan) voorzien wij daarin. Ook in de Wet Bescherming Persoonsgegevens (WBP) is uitgebreid geregeld hoe met persoonsgegevens moet worden omgegaan; voor welke doeleinden ze mogen worden verzameld, op welke wijze ze mogen worden verwerkt en welke beveiligingsmaatregelen moeten worden getroffen. De WBP is ook van toepassing op het gebruik van SUWI-gegevens binnen de gemeente en dient daarom in het beveiligingsplan te worden meegenomen. Per 1 januari 2008 is de Wet Eenmalige Gegevensuitvraag (WEU) ingevoerd. Hierdoor worden de SUWI-partijen verplicht om bepaalde gegevens van elkaar te gebruiken. Anders gezegd: er is een verbod gekomen op dubbele uitvraag van gegevens bij de cliënt. Dit betekent dat bevoegde gebruikers over meer privacygevoelige informatie van cliënten via Suwinet kunnen beschikken dan eerder het geval was. Daarnaast zal het aantal bronnen waarvan Suwinet gebruik kan maken (gevoed door het Inlichtingenbureau) in de toekomst alleen maar toenemen. Binnen het beveiligingsplan zal aandacht besteed moeten worden aan deze ontwikkelingen in relatie tot de (continue) bescherming van persoonsgegevens. De omgeving van Halte Werk is voortdurend in ontwikkeling, onder andere door wijzigende of vernieuwende inzichten, veranderingen in wet- en regelgeving of aanpassingen in informatiesystemen. Dit beveiligingsplan is daardoor geen statisch document; het vraagt om een regelmatige actualisatie. Het vorige plan is voor twee jaren vastgesteld, het huidige plan wordt gericht voor een periode van één jaar vastgesteld, wat ons dwingt om regelmatig stil te staan bij de visie op de beveiliging van Suwinet. Het voorliggende plan geldt voor het jaar Gekozen is voor een aparte bijlage waarin de concrete autorisaties voor het gebruik van Suwinet worden geregeld. Beheer Autorisaties Het beheer van autorisaties (toegang verlenen tot Suwinet) wordt uitgevoerd door gemeente Alkmaar. In oktober 2016 zijn alle autorisaties, die liepen via de gemeenten Heerhugowaard en Langedijk, overgezet naar de aansluiting van de gemeente Alkmaar. Beveiligingsplan Halte Werk Suwinet-Inkijk 2

3 Parallel hieraan loopt een onderzoek naar de mogelijkheid om te werken met één aansluiting, dit is tot op dit moment niet mogelijk in verband met de rechtsvorm van Halte Werk. Zodra dit wel mogelijk is, dan zullen wij dit overwegen.. Vaststelling beveiligingsplan Het beveiligingsplan wordt vastgesteld door de colleges van Heerhugowaard, Langedijk en Alkmaar afzonderlijk. Dit is een strikte vereiste van de Inspectie SZW. In de Gemeenschappelijke Regeling Halte Werk is de volgende bepaling opgenomen: Artikel 3 Belang 1. Halte Werk behartigt, met inachtneming van hetgeen hierover in de regeling is bepaald, de belangen van de deelnemers gezamenlijk en van iedere deelnemer afzonderlijk met betrekking tot de uitvoering van de in medebewind opgedragen wetten als bedoeld in artikel 1, aanhef en onder a, voor zover de bevoegdheid daartoe de deelnemer toekomt en voor zover deze aan Halte Werk is gemandateerd. 2. Ter behartiging van het in het eerste lid genoemde belang is aan Halte werk de volledige verantwoordelijkheid met betrekking tot een effectieve en efficiënte uitvoering van de wetten opgedragen. Halte werk draagt zorg voor een organisatie ter behartiging van het belang en van de door de deelnemende gemeenten ter uitvoering daarvan opgedragen taken als benoemd in artikel 4. Op basis hiervan zijn medewerkers van Halte Werk gemandateerd om met de door gemeente Alkmaar verleende autorisatie, ook gegevens van cliënten uit de gemeenten Heerhugowaard en Langedijk te raadplegen. GBA-V Formeel zijn de GBA-v gegevens alleen toegankelijk van burgers van de gemeente waartoe het Suwinet account behoort. Doordat wij voor meerdere gemeenten werken, wijken we hiervan af. Omdat dit niet op een andere manier te regelen is, kiezen we ervoor dit vanuit overwegingen van transparantie, expliciet te vermelden in het beveiligingsplan. Halte Werk voert daarnaast werkzaamheden uit voor andere gemeenten. Hiervoor zijn samenwerkingsovereenkomsten vastgesteld, waarbij een passage/bepaling is opgenomen die voorziet in een zorgvuldige raadpleging van gegevens van burgers uit deze gemeenten. Beveiligingsplan Halte Werk Suwinet-Inkijk 3

4 2. Uitgangspunten Informatiebeveiliging wordt door Halte Werk, en zijn overkoepelende gemeenten Heerhugowaard, Alkmaar en Langedijk, gezien als een belangrijk onderwerp. Het beleid rond informatiebeveiliging is bij de drie gemeenten vastgelegd in een Informatiebeveiligingsbeleid dat is gebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten). Daarnaast hebben de gemeenten zelf ook een beveiligingsplan Suwinet-Inkijk. Voor Halte Werk wordt in dit beveiligingsplan nader uitgewerkt hoe wij omgaan met Suwinet-Inkijk. Het informatiebeveiligingsbeleid en de beveiligingsplannen zijn er op gericht de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (geautomatiseerde) gegevensuitwisseling binnen de gemeente, Halte Werk en de overige Suwi-partners te waarborgen. Om de beheersbare en betrouwbare informatievoorziening te realiseren is het van belang een aantal gemeenschappelijke uitgangspunten te hanteren en deze uit te dragen. Het beveiligingsbeleid heeft als doel om de betrouwbare werking van de (geautomatiseerde) uitwisseling van informatie van de sociale dienst inzichtelijk te maken. Tevens worden de maatregelen aangegeven die verstoringen en inbreuken tegengaan. Halte Werk heeft zich geconformeerd aan de richtlijnen van het BKWI, waarbij onderstaande uitgangspunten zijn gedefinieerd. 2.1 Uitgangspunten privacy Bescherming van de privacy krijgt in het Suwi-domein inhoud door de volgende uitgangspunten: het (her)gebruik van gegevens door andere partijen (niet zijnde Halte Werk) is uitsluitend toegestaan wanneer daarvoor een wettelijke basis bestaat. beheer en toegang tot gegevensverzamelingen en applicaties wordt volgens een stelsel van gemeenschappelijke afspraken gecontroleerd, om een geautomatiseerde waarborg te realiseren dat aan wet- en regelgeving wordt voldaan. het Suwinet is een besloten netwerk dat technisch adequaat van het publieke Internet is afgesloten. alle uitgewisselde berichten worden beveiligd tegen onbevoegd inzien en wijzigen. identificatie van medewerker en cliënt vindt volgens eenduidige en beproefde procedures plaats. cliënten kunnen inzage krijgen in hun (elektronische) dossier. cliënten kunnen altijd een verzoek tot correctie of verwijdering van hun dossier doen. Op basis van een feitenonderzoek, de Wbp en overige wetgeving wordt onderzocht of deze correctie of verwijdering kan worden toegepast. 2.2 Uitgangspunten algemeen De informatiebeveiliging is een lijnverantwoordelijkheid en dient een geïntegreerd onderdeel uit te maken van het bedrijfsproces. Dit is terug te vinden in het Informatiebeveiligingsbeleid van de gemeenten. De uitgangspunten die hierin genoemd worden zijn ook van belang voor dit beveiligingsplan. Een aantal algemene uitgangspunten herhalen wij hieronder: Het doel van beveiliging is: Beveiligingsplan Halte Werk Suwinet-Inkijk 4

5 o Het waarborgen van de privacy en rechten van de burger; o Het waarborgen van de continuïteit van de bedrijfsvoering; o Het voorkomen van schade voor de organisatie door te trachten beveiligingsincidenten te voorkomen en eventuele gevolgen te minimaliseren; Beveiligingsmaatregelen mogen niet ten koste gaan van de veiligheid van eigen personeel en dat van derden; Beveiligingsmaatregelen betreffende de gegevensuitwisseling tussen Halte Werk en overige Suwi-partners te regelen; Informatiebeveiliging is een wezenlijk onderdeel van de dagelijkse bedrijfsvoering en dient vorm te krijgen in het informatiebeveiligingsproces; Beveiliging van gegevens is van toepassing op het gehele proces van de informatievoorziening van zowel de geautomatiseerde als de niet geautomatiseerde informatiesystemen ongeacht de soort informatie en de opslagwijze; Al het netwerkverkeer van het eigen netwerk met andere netwerken, waaronder Internet, dient te verlopen via één logische netwerkingang, de filterende netwerkkoppeling, waarbij als uitgangspunt geldt dat alles wat niet expliciet is toegestaan is verboden ; Bij (geautomatiseerde) gegevensuitwisseling tussen onze organisatie en andere organisaties, waarbij gebruik wordt gemaakt van intern opgeslagen gegevens, dient schriftelijk te worden vastgelegd onder wiens verantwoordelijkheid deze uitwisseling plaats vindt, en aan welke kwaliteiten de uitwisseling moet voldoen en welke maatregelen vanuit het oogpunt van beveiliging door de partijen moeten worden getroffen. 3. Verdeling verantwoordelijkheden medewerkers Halte Werk en de gemeente Alkmaar SUWI-net Inkijk is alleen bestemd voor medewerkers van Halte Werk die zich bezig houden met de bijstandsaanvragen. Per functie verschilt de toegang tot het SUWI-net. De specifieke toegang is afhankelijk van de noodzaak van de (privacygevoelige) informatie voor de uitvoering van de functie. Binnen de afdeling zijn medewerkers Handhaving werkzaam met een uitgebreidere functierol ten opzichte van de klantmanagers. Deze verschillende rollen worden uitgewerkt in de autorisatiematrix (bijlage 1 bij dit plan). In de loop van 2016 is Suwinet fijnmaziger ingericht, waarbij pagina s zijn ontworpen die de informatie weergeven die voor specifieke functies de benodigde informatie (maar niet meer dan dat) bevatten. Dit is verwerkt in de autorisatiematrix. NB in deze bijlage worden de formele door BKWI gehanteerde functienamen gebruikt. Hierbij wordt aangegeven hoe deze worden gelinkt naar de functienamen zoals die binnen Halte Werk worden gebruikt. Functies die niet in deze tabel staan benoemd, hebben géén toegang tot Suwinet. Whitelisting/escapefunctie Door middel van whitelisting, wordt feitelijk een filter geplaatst, waardoor medewerkers alleen nog de gegevens kunnen raadplegen van burgers waar de gemeente een dienstverlenende relatie mee heeft. Als gegevens moeten worden geraadpleegd waarmee (nog) geen relatie is (bijvoorbeeld bij een aanvraag of bijzonder onderzoek), dan is het mogelijk om medewerkers te autoriseren voor de zogenaamde escape-functie. Als hiervan gebruik wordt gemaakt dan wordt dit specifiek gelogd en gerapporteerd. Halte Werk levert hiertoe periodiek een whitelist aan van klanten waarmee een dienstverlenende relatie bestaat. Dit gaat geautomatiseerd. Beveiligingsplan Halte Werk Suwinet-Inkijk 5

6 Het gebruiken van de Whitelistfunctie is optioneel, maar geeft het voordeel dat we veel gerichter kunnen controleren, en ook dat het duidelijkheid verschaft aan onze medewerkers. Wij zullen dit maximaal benutten, omdat het zowel de mogelijkheden om oneigenlijk gebruik te maken sterk inperkt, als de uiteindelijke controle vergemakkelijkt. 3.1 Rollen Vanwege de functiescheiding is gekozen om de rol van het management en security officer volledig te scheiden van de gebruikersrollen. Management Beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen van het belang van goed gebruik, bijsturen na oneigenlijk gebruik en optreden na misbruik van Suwinet. De directeur Halte Werk is voor deze taken eindverantwoordelijk. Aanvragen autorisatie gebeurt door de directeur van Halte Werk. Kwaliteitszorg en borging van rechtmatig gebruik De security officer (functie binnen Halte Werk) beheert en beheerst beveiligingsprocedures en - maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De security officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De security officer rapporteert rechtstreeks aan de Directeur Halte Werk en het MT, alsook aan de CISO s van de gemeenten waar Halte Werk diensten aan levert. Dit betreft ook overige gemeenten waarvoor werkzaamheden op het gebied van Handhaving en/of Bbz/Ioaz worden uitgevoerd. Beheer van autorisaties (toegang verlenen tot Suwinet) (in de autorisatiematrix rol Applicatiebeheerder rol R950) Het functioneel beheer wordt uitgevoerd door gemeente Alkmaar. Deze medewerkers zijn geautoriseerd voor het gebruikersbeheer. Uitvoering van Taken (het gebruik van Suwinet) In de autorisatiematrix wordt onderscheid gemaakt in meerdere inhoudelijke rollen. De rol die een medewerker heeft bepaalt welke delen van Suwinet geraadpleegd mogen worden. 4. Gebruik Suwinet-Inkijk Suwinet-Inkijk wordt gebruikt voor het raadplegen van cliëntgegevens/informatie. Dit zijn onder andere bijzondere persoonsgegevens. En moet er rekening gehouden worden met de strengere regels uit de Wet bescherming persoonsgegevens als het gaat om gegevensverwerking. 5. Logging rapportages Het BKWI heeft rapportages ontwikkeld inzake de logging van het gebruik van Suwinet-Inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker van o.a. de gemeente kan worden nagegaan. De volgende gegevens worden gelogd: Beveiligingsplan Halte Werk Suwinet-Inkijk 6

7 het tijdstip van iedere login en log-out en andere actie; de gebruikersnaam van degene die inlogt/uitlogt; elk Burgerservicenummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd wordt als actie geregistreerd; elke actie, zoals de bekeken kolom- of overzichtspagina s. Het doel van deze logging is tweeledig: 1. tegengaan en controleren van onrechtmatige, onregelmatige of doeloverschrijdende verwerking: 2. wetenschappelijke en/of statistische doeleinden. De gebruikers van Suwinet-Inkijk moeten weten dat over hen gegevens worden verzameld en vastgelegd. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-Inkijk: het bestaan van de logging-applicatie; de (aard van de) gegevens die binnen deze applicatie worden gelogd; doelen van de logging; dat de gelogde gegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze zijn vastgelegd; de wijze en het moment waarop en door wie een onrechtmatig of doeloverschrijdend gebruik van het SUWI-net Inkijk wordt geconstateerd; Dat bij bovenstaande constatering dit door het afdelingshoofd wordt gecommuniceerd met de betreffende medewerker(s). In het kader van de beveiliging worden de gegevens over het gebruik van Suwinet-Inkijk elke maand opgevraagd. De rapportage over de bevindingen en maatregelen wordt in afschrift verzonden aan de CISO s van de 3 gemeenten. Het betreft dan de volgende gegevens: 1. Inkijkacties; 2. Opvragingen unieke Burgerservicenummers; 3. Geldige ten opzichte van ongeldige rollen; 4. Inlogpogingen; 5. Administrator accounts; 6. Accounts per status; 7. Opvragingen per pagina; 8. Geregistreerde ten opzichte van actieve accounts. Iedere maand vraagt de security officer de logginggegevens (algemene rapportage) op bij BKWI. De security officer levert maandelijks, op grond van de algemene rapportage, een rapportage over de bevindingen en maatregelen aan de CISO s van de drie gemeenten. 6. Rapportages De logginggegevens worden door de functioneel beheerder maandelijks aangeleverd en door de security officer beoordeeld. De security officer rapporteert zijn bevindingen één keer per maand aan de Directeur en de CISO s. In deze rapportage wordt inzicht gegeven in de aantallen raadplegingen, en een verklaring gegeven voor geconstateerde onregelmatigheden. Van deze rapportage wordt een afschrift toegestuurd aan de CISO s van de gemeenten. Beveiligingsplan Halte Werk Suwinet-Inkijk 7

8 De security officer levert één keer per maand een rapport met bevindingen aan de Directeur en de CISO s. Eén keer per jaar wordt door een externe auditor een auditrapportage geleverd aan het Bestuur van Halte Werk en de CISO s van de gemeenten waarvoor Halte Werk diensten uitvoert, waaruit blijkt of er wordt voldaan aan de normen die worden gesteld door het BKWI over het gebruik van Suwinet. Specifiek voor 2017 zal deze audit zich mede richten op de vraag hoe Halte Werk kan voldoen aan de eisen gesteld in de Baseline Informatiebeveiliging Gemeenten (BIG). Centrale vragen daarbij zijn: - Wat is nodig om te waarborgen dat we voldoen aan de BIG? - Wat is de gewenste rol van de CISO s van de HAL-gemeenten, en hoe verhoudt die zich tot de rol en verantwoordelijkheid van een security officer binnen Halte Werk? Hiermee zal de pre-audit voor 2017 breder zijn dan alleen de beveiliging van Suwinet. De security officer levert ook op verzoek gegevens en rapportages aan in verband met onderzoeken van het ministerie naar het gebruik van Suwinet. Afhankelijk van de aard van het onderzoek kan dit direct naar het ministerie, of zal dit via de CISO s lopen. Als daar aanleiding toe is dan worden onregelmatigheden besproken met de betreffende ambtenaar en/of coördinator/afdelingshoofd. Jaarlijks wordt door een externe auditor een auditrapportage geleverd aan het BT en de CISO s. Als zich een situatie voordoet waarbij een mogelijk bestuurlijk afbreukrisico bestaat, dan wordt de verantwoordelijke wethouder geïnformeerd. 6.1 Evaluatie In de jaarlijkse rapportage voor het bestuur en de CISO s van de gemeenten, wordt geëvalueerd in hoeverre het beveiligingsbeleid nog actueel is. Hierbij betrekt de security officer ook de visie van de functioneel beheerder en van de CISO s, alvorens de evaluatie wordt verwerkt in de jaarlijkse rapportage. Het beveiligingsplan wordt ook jaarlijks geactualiseerd. 7. Uitdragen beveiligingsplan en consequenties Het belang van een zorgvuldige omgang met Suwinet wordt uitgedragen. Medewerkers moeten op de hoogte zijn van de inhoud en de betekenis van het plan en het beleid, en van het feit dat al hun raadplegingen op Suwinet worden gelogd en gecontroleerd. Hierbij wordt ook aandacht besteed aan het feit dat verkeerd gebruik grote gevolgen kan hebben voor zowel Halte Werk als de individuele medewerker. Halte Werk heeft een Kapstokregeling Integriteit. In het verlengde daarvan staan eventuele disciplinaire sancties beschreven in de CAR-UWO. Het gebruik van Suwinet is een terugkerend onderwerp bij medewerkersbijeenkomsten en werkoverleggen. Er wordt een verslag gemaakt van het feit dat het onderwerp informatiebeveiliging is besproken 1. Verder wordt via het intranet regelmatig aandacht gevraagd voor de informatiebeveiliging. De jaarlijkse auditrapportage wordt ook verspreid via intranet. We haken aan bij de cursus informatiebeveiliging die door gemeente Alkmaar wordt aangeboden. Deze gaat in de vorm van e-learning en zal in de loop van 2017 plaatsvinden. In 2015 hebben alle 1 Van sommige overleggen wordt geen verslag gemaakt. Een oplossing kan zijn dan de leidinggevende na afloop van het overleg een mail stuurt aan alle aanwezigen, waarin nogmaals wordt gewezen op dat tijdens het overleg besproken is hoe we met Suwinet omgaan. Een cc van deze e- mail kan dan aan de security-officer worden verzonden. Beveiligingsplan Halte Werk Suwinet-Inkijk 8

9 medewerkers ook een dergelijke cursus gevolgd, in 2016 hebben interactieve sessies plaatsgevonden waarbij aandacht is besteed aan de Wet op de privacy, het risico van datalekken en hoe daarmee om te gaan. Thuiswerken Medewerkers van Halte Werk hebben de mogelijkheid om thuis (of op een alternatieve werkplek) te werken. Hierbij is het van groot belang dat gebruik van Suwinet zorgvuldig plaatsvindt: als huisgenoten of andere personen aanwezig zijn, dan mogen schermen met informatie uit Suwinet niet openstaan. Hierbij dient uiterste zorgvuldigheid te worden betracht. Bij informatievoorziening aan medewerkers wordt hier specifiek aandacht aan besteed. 8. bijlages De volgende bijlages worden toegevoegd: Bijlage 1. Tien gouden regels bij beveiliging van persoonsgegevens Bijlage 2. Protocol rechten van betrokkene Suwinet Inkijk Bijlage 3. Procedure autorisatie Bijlage 4. Autorisatiematrix Beveiligingsplan Halte Werk Suwinet-Inkijk 9

10 Bijlage 1 Tien gouden regels bij beveiliging van persoonsgegevens Voor het werken met en de omgang met persoonsgegevens is vanuit de overheid een aantal regels opgesteld, welke is verwoord in verschillende wet- en regelgeving. Concreet kunnen deze regels als volgt worden vertaald: 1. Beheren van wachtwoorden De gebruiker moet het door de administrator uitgegeven wachtwoord wijzigen zodra de eerste inlog plaatsvindt. Vervolgens vervalt dat wachtwoord iedere keer na 30 dagen (is standaard instelling vanuit applicatie). De gebruiker heeft dus het eigen beheer over het wachtwoord. Zodra een medewerker de gemeente verlaat, wordt het account verwijderd. Wanneer het account langer dan 3 maanden niet wordt gebruikt en daarbij dus ook geblokkeerd staat wordt deze ook verwijderd. 2. Melden van beveiligingsincidenten Het is belangrijk dat beveiligingsincidenten worden gemeld bij het servicepunt van gemeente Alkmaar. Zij informeren de Security Officer. Vervolgens wordt het incident door gemeente Alkmaar onderzocht. Voorbeelden van incidenten zijn: een virusmelding op het systeem of een inbraak of poging tot inbraak. 3. Geheimhoudingsplicht Binnen Halte Werk wordt met persoonsgegevens gewerkt. Voor het werken en omgaan met persoonsgegevens is vanuit de overheid een aantal regels opgesteld, welk is verwoord in de Wet Bescherming Persoonsgegevens (WBP). In de wet SUWI en in de CAO zijn geheimhoudingsbepalingen opgenomen, waarin wordt aangegeven dat de persoonsgegevens niet verder bekend mogen worden gemaakt dan voor de uitoefening van de functie noodzakelijk is. 4. Gedragscode internet- en gebruik Halte Werk hanteert een protocol voor gebruik van en internet. In dit protocol is aangegeven hoe de medewerkers behoren om te gaan met en internet op de werkplek. Tevens bevat dit protocol regels voor de manier waarop het gebruik van externe en internet wordt geobserveerd. Het protocol is voor alle medewerkers van Halte Werk te raadplegen op het Intranet (pleio). 5. Kennisnemen van het informatiebeveiligingsbeleid Het geldende informatiebeveiligingsbeleid (verschillend voor de drie gemeenten) en het Beveiligingsplan SUWInet (inclusief instructies en protocollen) is op iedereen van toepassing die gebruik maakt van SUWI-net Inkijk. Deze documenten incl. instructies en protocollen zijn beschikbaar via het Intranet en alle medewerkers van Halte Werk worden hierop geattendeerd. Gebruikers van SUWI-net Inkijk moeten weten dat over hen gegevens worden vastgelegd en verzameld. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. In dit beveiligingsplan wordt hier aandacht aan besteed. Jaarlijks, bij de evaluatie van het beveiligingsplan, wordt dit onderwerp geagendeerd voor het werkoverleg. 6. Gegevensverstrekking aan derden via de telefoon Het uitgangspunt is dat er met terughoudendheid aan verzoeken om telefonische informatie over betrokkenen wordt tegemoetgekomen. Het voeren van telefoongesprekken brengt namelijk de risico s met zich mee dat de identiteit van de gesprekspartner verkeerd wordt vastgesteld of dat persoonsgegevens worden verstrekt aan personen die geen recht op informatie hebben. In principe wordt er dan ook geen telefonische informatie over klanten verstrekt aan personen of instanties die beweren namens betrokkene te bellen. In die gevallen kan er een schriftelijk verzoek worden ingediend, voorzien van een machtiging. Bij een verzoek om telefonische informatieverstrekking van Beveiligingsplan Halte Werk Suwinet-Inkijk 10

11 een ketenpartner 2 wordt de verzoeker teruggebeld via het algemene nummer van de (vestiging van de) ketenpartner met het verzoek te worden doorverbonden. Dit terugbellen kan achterwege blijven indien is er sprake is van een vast contactpersoon. 7. Clear desk en clear screen policy De vertrouwelijke omgang met persoonsgegevens houdt onder andere in dat elke werkplek zodanig is ingericht, dat onbevoegden niet de beschikking kunnen krijgen over deze informatie. Vertrouwelijke gegevens mogen niet onbeheerd op het bureau achterblijven. Dossiers worden bewaard in een kast die na werktijd wordt gesloten. Bezoekers dienen zich bij binnenkomst in het gemeentehuis eerst te melden bij de receptie. De kans is derhalve gering dat onbevoegden zonder te worden opgemerkt toegang krijgen tot de werkplek van de medewerkers. Clear screen betekent dat het werkstation moet worden vergrendeld met behulp van schermbeveiliging (met wachtwoord). De screensaver is zodanig ingesteld dat na een x-aantal minuten de schermbeveiliging automatisch intreedt. Dit is voor iedere medewerker standaard ingesteld. 8. Geen vertrouwelijke gegevens in de prullenbak De correcte omgang met vertrouwelijke gegevens waaronder persoonsgegevens is erg belangrijk binnen Halte Werk. Ook het vernietigen van deze gegevens moet op een veilige manier plaatsvinden. Daarom zijn er op iedere afdeling afgesloten papiercontainers, waarin het te vernietigen materiaal verzameld wordt. De verzamelde vertrouwelijke gegevens worden regelmatig aangeleverd bij het vernietigingsbedrijf. Vertrouwelijke gegevens dienen niet terecht te komen in een prullenbak of een bak die bestemd is voor oud papier. 9. Aanspreken van onbekende personen In het geval dat een medewerker van Halte Werk een voor hem/haar onbekende persoon in de gang van de afdeling tegenkomt waar officieel geen publiek zonder begeleiding mag komen, dient de medewerker deze persoon aan te spreken, zichzelf voor te stellen en de persoon in kwestie te vragen wat hij/zij hier doet. Personen die niet bevoegd zijn om zich op deze plek te bevinden worden hierdoor op deze overtreding gewezen. Het is de taak van de medewerker om hen beleefd maar duidelijk de weg naar het publieke gedeelte van het gebouw te wijzen en ze daar naar toe te begeleiden. 10. De dagelijkse werkzaamheden vs. Informatiebeveiliging Informatiebeveiliging is uitermate belangrijk voor het werk binnen een Sociale Dienst waar veelvuldig met privacygevoelige informatie wordt gewerkt en hoort dan ook bij de professionele en bekwame uitvoering van het werk. Ook cliënten vertrouwen op een zorgvuldige wijze van verwerken van hun gegevens. Reden waarom middels het werkoverleg geregeld aandacht voor dit onderwerp besteed dient te worden. 2 UWV Werkbedrijf of gemeenten Beveiligingsplan Halte Werk Suwinet-Inkijk 11

12 Bijlage 2. Protocol inzage in SUWI-net door cliënt en/of gemachtigde Om de privacy van de cliënt te waarborgen is zorgvuldigheid in de omgang met diens gegevens vereist. In bepaalde, in de hieronder beschreven gevallen, is gegevensinzage door derden mogelijk. De via SUWI-net Inkijk opvraagbare gegevens zijn alleen in elektronische vorm te zien. De gegevens moge niet lokaal worden opgeslagen (op de harde schijf dan wel anderszins). Hieronder volgt een handleiding voor een aantal situaties waar de SUWI-gebruiker mee te maken kan krijgen. INZAGE 1. De cliënt verzoekt om inzage, hetzij schriftelijk, hetzij mondeling, in diens gegevens Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel legitimatiebewijs (rijbewijs, paspoort etc.); Controleer of er geen gegevens van derde personen in het dossier van de cliënt zitten. Is dat wel het geval scherm die dan af en zorg dat ze niet op het beeldscherm of op een afdruk kunnen verschijnen (kopieer bijvoorbeeld de wel relevante tekst naar een nieuw bestand dat je na inzage weer verwijdert); Maak een uitdraai van de geraadpleegde gegevens of laat de cliënt meekijken op het scherm; Berg (mogelijk tweede) uitdraai onmiddellijk op in het cliëntendossier of vernietig eventueel uitgedraaid exemplaar; Beëindig inkijksessie. Het is mogelijk dat een cliënt telefonisch vraagt om een uitdraai van zijn/haar gegevens. In dat geval dient de cliënt verwezen te worden naar de balie of moet een schriftelijk verzoek indienen, dat binnen de wettelijk verplichte termijn dient te worden afgehandeld. Indien de cliënt inzage wil in al zijn/haar gegevens die bij een ketenpartner zijn geregistreerd, dient de klant te worden verwezen naar de betreffende ketenpartner. 2. Gemachtigde verzoekt schriftelijk om inzage in cliëntgegevens Stel vast dat de machtiging schriftelijk is gegeven en nauwkeurig omschreven; Stel de identiteit van de gemachtigde vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel document (rijbewijs, paspoort etc.); Maak een uitdraai van de geraadpleegde gegevens of laat de gemachtigde meekijken op het scherm; Berg (mogelijk tweede) uitdraai onmiddellijk op in het cliëntendossier of vernietig eventueel uitgedraaid exemplaar; Beëindig inkijksessie. Beveiligingsplan Halte Werk Suwinet-Inkijk 12

13 3. Een derde 3 verzoekt om inzage, hetzij schriftelijk, hetzij mondeling in cliëntgegevens Dit is niet mogelijk. CORRECTIE 1. De cliënt verzoekt om correctie Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel legitimatiebewijs (rijbewijs, paspoort etc.); Informeer de cliënt dat hij/zij een officieel verzoek moet indienen via een standaardformulier; Maak twee kopieën van het verzoek; Verstrek een kopie aan de cliënt, archiveer de andere kopie. Het correctieverzoek wordt intern beoordeeld en getoetst aan de wetgeving; De wijziging wordt al dan niet doorgevoerd in het dossier van de cliënt; Indien de correctie wordt doorgevoerd wordt het correctieverzoek na aanpassing in het dossier uit het dossier gehaald en vernietigd; De cliënt wordt schriftelijk geïnformeerd over de al dan niet toegepaste wijziging en indien het correctieverzoek niet wordt gehonoreerd wordt de reden daarvan ook schriftelijk medegedeeld. 2. Gemachtigde verzoekt om correctie Stel vast dat de machtiging schriftelijk is gegeven en nauwkeurig omschreven; Stel de identiteit van de gemachtigde vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel document (rijbewijs, paspoort etc.); Informeer de gemachtigde dat hij/zij een officieel verzoek moet indienen via een standaardformulier; Maak twee kopieën van het verzoek; Verstrek een kopie aan de gemachtigde, archiveer de andere kopie. De wijziging wordt al dan niet doorgevoerd in het dossier van de cliënt; Indien de correctie wordt doorgevoerd wordt het correctieverzoek na aanpassing in het dossier uit het dossier gehaald en vernietigd; De gemachtigde wordt schriftelijk geïnformeerd over de al dan niet toegepaste wijziging en indien het correctieverzoek niet wordt gehonoreerd wordt de reden daarvan ook schriftelijk medegedeeld. 3. Een derde verzoekt om correctie Dit is niet mogelijk. 3 Met derde wordt niet bedoeld een cliënt of een samenwerkende partij Beveiligingsplan Halte Werk Suwinet-Inkijk 13

14 VERWIJDERING 1. De cliënt verzoekt om verwijdering Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs; Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel legitimatiebewijs (rijbewijs, paspoort etc.); Informeer de cliënt dat hij/zij een officieel verzoek moet indienen via een standaardformulier; Maak twee kopieën van het verzoek; Verstrek een kopie aan de cliënt, archiveer de andere kopie; Het verzoek wordt intern beoordeeld en getoetst aan de wetgeving; De verwijdering wordt al dan niet doorgevoerd in het dossier van de cliënt; De cliënt wordt schriftelijk geïnformeerd over de al dan niet toegepaste verwijdering en indien het verzoek niet wordt gehonoreerd wordt de reden daarvan ook schriftelijk medegedeeld. 2. Gemachtigde verzoekt om verwijdering Stel vast dat de machtiging schriftelijk is gegeven en nauwkeurig omschreven; Stel de identiteit van de gemachtigde vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs (rijbewijs, paspoort, etc.); Vraag om het Burgerservicenummer van de cliënt; Stel vast dat het Burgerservicenummer is ontleend aan een officieel document (rijbewijs, paspoort etc.); Informeer de gemachtigde dat hij/zij een officieel verzoek moet indienen via een standaardformulier; Maak twee kopieën van het verzoek; Verstrek een kopie aan de gemachtigde, archiveer de andere kopie; Het verzoek wordt intern beoordeeld en getoetst aan de wetgeving; De verwijdering wordt al dan niet doorgevoerd in het dossier van de cliënt; De cliënt wordt schriftelijk geïnformeerd over de al dan niet toegepaste verwijdering en indien het verzoek niet wordt gehonoreerd wordt de reden daarvan ook schriftelijk medegedeeld. 3. Een derde verzoekt om verwijdering Dit is niet mogelijk. Beveiligingsplan Halte Werk Suwinet-Inkijk 14

15 Bijlage 3. Procedure Autorisatie tot Suwinet Deze procedure voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn voor het autoriseren van personen voor Suwinet. Hiermee wordt de logische toegangsbeveiliging afgedicht voor de Suwinet gegevens en de vertrouwelijkheid hiervan gewaarborgd. Definitie Met een autorisatie wordt een door het bevoegd gezag gelegitimeerde toegang tot één of meerdere informatiesystemen van de gemeente bedoeld. De procedure bestaat uit drie afzonderlijke deelprocedures die gescheiden kunnen worden uitgevoerd: Autorisatie tot het netwerk; Autorisatie tot Suwinet; Periodieke controle autorisaties. Beheer Om toegang te kunnen krijgen tot de gegevens is naast de specifieke autorisatie in de desbetreffende applicatie(s) tevens een bevoegdheid nodig op netwerk- en/of het systeemniveau. Deze bevoegdheden worden beheerd door de gemeente Alkmaar. De bevoegdheden binnen Suwinet worden beheerd door de functioneel beheerder van gemeente Alkmaar. Proceseigenaar De proceseigenaar is de directeur Halte Werk. Verantwoordelijkheid De verantwoordelijkheid voor deze procedure ligt te allen tijde bij de colleges van B&W en namens deze bij de directeur Halte Werk. De verantwoordelijkheid om de toegang tot het netwerk te verlenen berust bij de directeur van Halte Werk. De uitvoering hiervan ligt bij het SSC van gemeente Alkmaar. De verantwoordelijkheid om toegang te verlenen tot de gegevens behorend bij Suwinet berust bij de directeur van Halte Werk. De uitvoering hiervan ligt bij de functioneel beheerder van gemeente Alkmaar. Uitvoering Autorisatie tot het netwerk De autorisatie voor gebruik van het netwerk wordt bij aanstelling geregeld: Bij aanstelling van een nieuwe medewerker vraagt de directeur Halte Werk schriftelijk een netwerk account aan bij gemeente Alkmaar; Van alle medewerkers is bij indiensttreding een VOG (verklaring omtrent het gedrag) opgevraagd. gemeente Alkmaar beoordeelt het autorisatieverzoek; Na honorering van het verzoek maakt een applicatiebeheerder van gemeente Alkmaar een standaard netwerk account aan; Beveiligingsplan Halte Werk Suwinet-Inkijk 15

16 Het netwerk is voor geautoriseerde gebruikers slechts toegankelijk met gebruik van persoonlijke toegangscodes (passwords). Deze wachtwoorden zijn beperkt geldig. De toegangscode bestaat uit minimaal 6 posities. Na maximaal 3 foutieve aanmeldpogingen vervalt het wachtwoord automatisch. Wachtwoorden van anderen zijn niet door (eind)gebruikers op te vragen; De gebruiker krijgt van de systeembeheerder van gemeente Alkmaar een korte instructie hoe zich aan te melden en hoe om te gaan met wachtwoorden; Bij vertrek van een medewerker geeft de directeur Halte Werk dit door aan gemeente Alkmaar waarna de applicatiebeheerder van gemeente Alkmaar de autorisatie intrekt. Autorisatie tot Suwinet De directeur Halte Werk dient met behulp van het daarvoor bestemde formulier schriftelijk een autorisatieverzoek in voor een nieuwe of gewijzigde autorisatie voor Suwinet. Hierbij worden de raadpleegbare gegevens afgestemd op de taakinhoud van de aanvrager, conform de autorisatiematrix De functioneel beheerder Suwinet van gemeente Alkmaar die het bericht van de directeur Halte Werk ontvangt regelt vervolgens de autorisatie in Suwinet; De gebruiker krijgt een terugmelding over het autorisatieverzoek van de functioneel beheerder Suwinet van gemeente Alkmaar die het autorisatieniveau heeft verwerkt. Tevens krijgt de gebruiker een korte instructie hoe hij zich aan kan melden en hoe om te gaan met Suwinet. De medewerker wordt expliciet gewezen op de plek waar het beveiligingsplan Gegevensuitwisseling Suwinet te vinden is en verzocht hiervan aandachtig kennis te nemen. Bij vertrek of wijziging van de functie van een medewerker geeft de directeur Halte Werk dit door aan de functioneel beheerder Suwinet van gemeente Alkmaar, waarna de Gebruiksbeheerder de autorisatie intrekt of wijzigt; Periodieke controle autorisaties Naast de afmeldingen van gebruikers via personeelsmutatieformulieren loopt de functioneel beheerder Suwinet van gemeente Alkmaar maandelijks de actieve en inactieve gebruikers ter controle door. 4 x per jaar wordt het overzicht gebruikers met betreffende rollen voor akkoord aangeboden aan Halte Werk. Hiermee wordt geborgd dat de procedure correct werkt. Wanneer er gebruikers zijn die langer dan 3 maanden inactief / geblokkeerd zijn worden deze verwijderd. Bij vragen en of onduidelijkheden wordt er eerst contact gezocht met een MT lid Halte Werk. Beveiligingsplan Halte Werk Suwinet-Inkijk 16

17 Bijlage 4. Autorisatiematrix Zie apart excelbestand Beveiligingsplan Halte Werk Suwinet-Inkijk 17