In deze informatie wordt puntsgewijs ingegaan op de in deze motie gestelde vragen.

Transcriptie

1 Informatienota informatieveiligheid en privacy Aanleiding Op 26 januari 2017 heeft een interpellatiedebat plaatsgevonden naar aanleiding van het in 2016 gesignaleerde datalek bij het bedrijf Geotax (gestolen laptop), waarbij mogelijk ook persoonsgegevens van de gemeente Medemblik zijn betrokken. Bij dit interpellatiedebat is door uw Raad een motie aangenomen, waarbij wordt gevraagd om: - Presentatie van een plan voor vergroting van de bewustwording - Informatie over beschikbaarheid van persoonsgegevens en de beveiliging hiervan - Uitgezette acties om datalekken in de toekomst te voorkomen - Presentatie van een plan voor communicatie naar burgers, waarin kenbaar wordt gemaakt op welke wijze de gemeente gegevensbeveiliging garandeert - Een regelmatige update over de voortgang van de ontwikkeling van deze plannen In de informatienota Raad met nummer IVR , aangaande de implementatie van de nieuwe Europese regelgeving op het gebied van bescherming van persoonsgegevens (Algemene Verordening Gegevensbescherming, AVG), is reeds kort ingegaan op de motie en de relatie met het lopende AVG project. Hierbij is tevens aangegeven dat nog voor het zomerreces u een aanvullende informatienota zult ontvangen, waarbij dieper ingegaan wordt op de gestelde vragen, doch waarbij de beantwoording niet los kan worden gezien van het lopende AVG project. In deze informatie wordt puntsgewijs ingegaan op de in deze motie gestelde vragen. Plan bewustwording In het afgelopen jaar zijn binnen onze gemeentelijke organisatie meerdere bewustwordingsacties uitgevoerd, teneinde de awareness op gebied van informatiebeveiliging en privacy onder de medewerkers te vergroten. In 2016 is bijvoorbeeld een phishing mail actie uitgevoerd om enerzijds de bewustwording te vergroten en anderzijds een beeld te krijgen van de mate waarin medewerkers een phishing mail herkennen en hier adequaat op reageren. In het kader van informatiebeveiliging en het AVG project zijn recentelijk organisatiebreed presentaties gehouden. Daarnaast worden medewerkers periodiek middels intranet geïnformeerd over ontwikkelingen op gebied van informatiebeveiliging binnen onze gemeente (bijvoorbeeld over behandeling van datalekken). Voor de tweede helft van 2017 hebben wij een nieuwe actieve bewustwordingscampagne voor onze medewerkers ingepland; op 2 juni is een voor alle medewerkers toegankelijke inloopbijeenkomst georganiseerd waarin door een deskundige op laagdrempelige wijze werd ingegaan op gevoeligheid van met name persoonsgegevens en de wijze waarop daarmee werd omgegaan. Om het belang te onderstrepen van het onderwerp is deze bijeenkomst door de portefeuillehouder zelf geopend. Bewustwording op gebied van informatiebeveiliging en privacy kent geen eenmalig karakter en dient voortdurend plaats te vinden. Wij zullen hiervoor gebruik maken van producten van verschillende gespecialiseerde bedrijven op dit gebied. Deze producten kunnen meerdere malen worden ingezet. Samengevat zal de aanpak bestaan uit de onderstaande stappen tot eind 2018: Stap 1 Cultuurmeting Doel van deze stap is vooraf duidelijk en inzichtelijk krijgen wat de cultuur is en op welk niveau van bewustwording de verschillende afdelingen binnen de organisatie zich bevinden; voor deze cultuurmeting worden specifieke vragen samengesteld, uitgezet bij medewerkers van de verschillende afdelingen, antwoorden verzameld, verwerkt en geanalyseerd. Naast het feit dat de cultuurmeting inzicht biedt in de

2 huidige stand van zaken, draagt het door de opzet ook al bij aan de vergroting van de bewustwording. Stap 2 Training Bij bewustwording gaat het om de mate waarin iedere medewerker op elk niveau binnen de organisatie het belang van informatiebeveiliging inziet en de mate van beveiliging begrijpt. Daarnaast heeft elke medewerker inzicht in zijn of haar individuele beveiligingsverantwoordelijkheden en moet daar ook naar gehandeld worden. Hiervoor wordt gebruik gemaakt van e-learning, waarbij wordt overwogen dit in quiz-vorm met meerdere spelrondes te doen (waarbij tussen afdelingen een competitie element kan ontstaan). De inzet stemmen we af op de uitkomsten van de cultuurmeting en de aandachtspunten die hierbij naar voren zijn gekomen. Stap 3 Toetsen Na cultuurmeting en training, is het belangrijk om vast te stellen of de genomen acties ook tot een positief resultaat leiden. Afgestemd op de bij de meting al geconstateerde aandachtspunten, maken we een selectie uit de verschillende instrumenten die hiervoor beschikbaar zijn: o Mystery Quest (bezoeken van locatie teneinde zwakke punten in de fysieke toegangsbeveiliging te signaleren) o Social Engineering (benaderen van medewerkers met als doel relevante informatie van hen los te krijgen) o Social Media Scan (onderzoek naar het gebruik van social media door de organisatie en medewerkers, teneinde ongewenste publicaties boven water te krijgen). o Phishing tool (versturen van een phishing mail naar medewerkers, teneinde vast te stellen op welke wijze medewerkers hierop reageren) o USB actie (hoe reageren medewerkers op een onbekende USB stick die men ergens vindt of langs onbekende weg krijgt aangeboden; is men zich er in voldoende mate van bewust dat deze een virus kan bevatten). Daarnaast zal gebruik worden gemaakt van reeds bestaande ter beschikking staande middelen (intranet, nieuwsbrief, communicatie, etc.). Inzet van middelen wordt afgestemd op risico s die de organisatie loopt; de meting van stap 1 zal hier inzicht in geven. Overzicht informatie bij gemeente beschikbare gegevens over burgers en hoe deze beveiligd zijn In het kader van de implementatie van de AVG werken we aan de totstandkoming van het register dat de verwerkingen van persoonsgegevens bevat, zoals in de eerdere informatienota reeds is aangegeven. Per verwerking leggen we hiervoor de onderstaande gegevens vast: - Doeleinden en grondslag - Categorieen persoonsgegevens en betrokkenen - Gevoeligheid / risico s - Uitwisseling van gegevens - Bewaartermijnen - Beschrijving passende beveiligingsmaatregelen Voor de vulling van het register voeren we op dit moment privacy impact assessments (PIA s) uit in lijn met de AVG. Dit vraagt veel inzet van de hierbij betrokken medewerkers binnen onze organisatie. Net als andere gemeenten zal ook onze gemeente hiermee nog zeker tot en met volgend jaar mee bezig zijn.

3 In bijlage A treft u een voorlopig overzicht aan van persoonsgegevens binnen onze gemeente, zoals toegezegd. Dit overzicht vervangen we uiteindelijk door het hiervoor genoemde register dat een up-to-date stand van zaken zal bevatten en veel meer onderliggende informatie. Voor de in onze gemeente aanwezige verwerkingen van persoonsgegevens is het uitgangspunt dat minimaal wordt voldaan aan het beveiligingsniveau, zoals dat in de Baseline Informatiebeveiliging Gemeenten (BIG) is vastgelegd. Bijzondere aandacht gaat daarbij uit naar gevoelige persoonsgegevens, zoals gezondheidsgegevens (bijv. WMO ondersteuning) en inkomens- en vermogensgegevens (inclusief BSN nummer). Deze vragen extra beveiligingsmaatregelen (zoals adequate afscherming van gegevens binnen de gemeente, versleuteling van gegevens bij gegevensuitwisseling met derden via bijvoorbeeld , extra eisen aan opslag, etc.). In het overzicht wordt aangeven welke gegevens een hogere gevoeligheid kennen en hier dus aan moeten voldoen. De PIA s geven een actueel inzicht in de mate waarin we hieraan voldoen. Acties ter voorkoming van datalekken De meeste datalekken vloeien voort uit menselijk gedrag; kennis en bewustwording zijn van belang. Technische maatregelen welke door DeSom worden genomen, zijn met name gericht op de afscherming van systemen/gegevens (firewalls, compartimentering), detectie van kwaadaardige of verdachte software welke kwaadwillenden op onze systemen willen introduceren, adequate toegangsbeveiliging en encryptie). Tot heden zijn er overigens geen datalekken naar boven gekomen die voortvloeien uit een tekortkoming van door DeSom genomen technische maatregelen; ook bij het omvangrijke Wannacry virus waren de afnemers van DeSom geen slachtoffer, mede omdat DeSom de laatste software updates ook had verwerkt. Ondanks adequate en effectieve maatregelen ter voorkoming van datalekken, zijn datalekken nooit helemaal uit te sluiten en moet elke organisatie ook zijn voorbereid op datalekken. Enerzijds kan de organisatie erop zijn voorbereid door heldere procedures en verantwoordelijkheden voor een adequate afhandeling, hetgeen voor onze gemeente ook het geval is. Anderzijds moeten we maatregelen nemen om te worden genomen om de schade zoveel mogelijk te beperken, bijvoorbeeld door beveiliging/encryptie van mobiele gegevensdragers waar gevoelige gegevens op zijn vastgelegd en mogelijkheden om deze op afstand te wissen. Een aantal van deze technische maatregelen is reeds genomen; andere maatregelen (encryptie van laptops/usb sticks) zijn in gang gezet. In afwachting van implementatie van deze aanvullende maatregelen, geldt het beleid dat geen gevoelige gegevens hierop mogen worden vastgelegd. Tenslotte is het van belang dat we de organisatie goed voorbereiden op een adequate afhandeling van datalekken (signalering, te nemen acties, melding, rapportages). Binnen de gemeente Medemblik is het proces rond afhandeling van datalekken goed vastgelegd in de procedure Incidentmanagement en respons. Communicatie naar burgers over borging informatiebeveiliging De AVG dwingt transparantie af. Dit betekent onder meer dat het hiervoor genoemde register toegankelijk dient te zijn voor de burger. Daarnaast worden burgers gewezen op hun inzage- en correctierecht, alsmede het recht om vergeten te worden. De concrete invulling hiervan zal worden meegenomen bij de implementatie van de AVG (updaten van het privacystatement, opstellen register verwerkingsactiviteiten, publicatie).

4 Regelmatige update over voortgang informatiebeveiliging In het komende jaar vullen we de verantwoording naar de gemeenteraad over informatiebeveiliging concreet in door het landelijke ENSIA project (eenduidige normatiek single information audit). ENSIA ondersteunt de gemeente om op integrale wijze verantwoording af te leggen over informatiebeveiliging met betrekking tot de verschillende beleidsterreinen/onderwerpen. Uitgangspunt is dat de Baseline Informatiebeveiliging Gemeenten (BIG) als gemeenschappelijk normenkader wordt gehanteerd voor elke gemeente. Met ENSIA kan de gemeente goed aansluiten op de gemeentelijke P&C cyclus, en kan het college de gemeenteraad in het jaarverslag informeren over informatiebeveiliging en privacy aspecten.

5 BIJLAGE OVERZICHT VERWERKINGEN PERSOONSGEGEVENS Nr. Omschrijving Extra beveiliging vanwege gevoeligheid 01 Klachten 02 Verzekeringen In een aantal gevallen BSN 03 Contactgegevens (voormalige) raadsleden, commissieleden (griffie) 05 Personeelsdossiers / salarisadministratie BSN, inkomen 06 Sollicitanten 07 Opleidingsgegevens 08 Servicedesk 09 Zaalreserveringen 10 Toegangscontrole 11 Bezwaarschriften 12 Disciplinaire maatregel Vanwege aard van het gegeven 13 Ziekteverzuim Vanwege aard van het gegeven 14 Incidentregistratiesysteem 15 Minimabeleid BSN, inkomen/vermogen, bank 16 WMO BSN, inkomen, ondersteuning 17 Leerlingenvervoer BSN 18 Invordering WWB BSN, inkomen 19 Wet op lijkbezorging BSN, inkomen 20 Heffingen BSN 21 WOZ BSN 22 Invordering belastingen BSN 23 GBA BSN 24 Ambtenaren burgerlijke stand 25 Publieke informatie gemeente 26 Kieswet 27 Wegenverkeerswet BSN 28 Naamswijziging BSN 29 Rijkswet Nederlanderschap 30 Paspoortwet BSN 31 KCC BSN (overledenen, geboren) 32 Burgerlijke stand 33 Schuldhulpverlening BSN, inkomen 34 WSNP BSN 35 Bezwaar en beroep soc. Zekerheid BSN 36 WOB 37 IOAW BSN, bank 38 WWB BSN, bank 39 IOAZ BSN, bank, gezondheid 40 WWB/ bijstandsbesluit zelfstandigen BSN, bank, gezondheid 41 WWB BSN, bank 42 Wet inburgering BSN 43 Leerplichtwet BSN 44 Servicelijn openbare ruimte 45 Bezwaar en beroep 46 Marktvergunningen 47 Milieuvergunningen en meldingen 48 APV Vergunningen

6 Nr. Omschrijving Extra beveiliging vanwege gevoeligheid 49 Bouwvergunningen 50 Kadastrale registratie BSN 51 Sloopvergunningen 52 Leegstandsvergunningen 53 Wet voorkeursrecht gemeenten 54 Relatiebeheersystemen 55 Vergunninghouders BSN 56 Videobeelden /cameratoezicht