Onderwerp Achtergebleven materiaal voormalig gemeentehuis Warmond - Besluitvormend

Transcriptie

1 BESLUIT OPSCHRIFT Vergadering van 11 oktober 2016 Besluit nummer: 2016_BW_00790 Onderwerp Achtergebleven materiaal voormalig gemeentehuis Warmond - Besluitvormend Beknopte samenvatting Op dinsdagavond 6 september kreeg de gemeente berichten dat op sociale media een filmpje over het voormalig gemeentehuis van Warmond circuleert. Het filmpje laat zien dat enkele jongens in het pand zijn en de kluis openen en in gaan. Te zien is dat er spullen zijn achtergebleven in de kluis. Onderzoek heeft uitgewezen dat in het oude gemeentehuis Warmond in 2006 documenten en Dat-tapes zijn achtergebleven die in het kader van de Wet bescherming persoonsgegevens (Wbp) persoonsgegevens bevatten. Wij zijn van mening dat dit niet past binnen een professionele organisatie en betreuren dit dan ook zeer. Wij hebben de afgelopen weken in nauw contact gestaan met de Autoriteit Persoonsgegevens (AP) en de informatiebeveiligingsdienst (IBD) over een zorgvuldige aanpak. De documenten bevatten 66 adressen van inwoners van Warmond en het privé-adres van een oud medewerker. Onderzoek heeft uitgewezen dat alle 66 geadresseerde inwoners inmiddels overleden zijn. De oud-medewerkers is door ons geïnformeerd. De 60 gevonden tapes zijn geanalyseerd door een gespecialiseerd bedrijf. De tapes bevatten volledige back-ups van de gemeente Warmond uit de periode 1997 tot Ook back-ups van de Gemeentelijke Basisadministratie (GBA) van de gemeente staan op de tapes. De gegevens en gegevensdragers zijn verouderd. De tapes zijn over het algemeen van redelijke kwaliteit, maar het gevonden materiaal is ook deels verweerd en aangetast door vocht. Sinds 2006 heeft de gemeente geen enkele aanwijzing gehad dat derden onbevoegd gebruik hebben gemaakt van het materiaal dat aanwezig was in het gemeentehuis in Warmond. Gezien de ouderdom van de gegevens en wijze waarop de bestandgegevens zijn aangetroffen, hebben wij na advies van de IBD geconcludeerd dat vervolgonderzoek niet nodig is. Deze conclusie nemen we op in de definitieve melding bij de AP. Het overige materiaal dat in het voormalige gemeentehuis was achtergebleven, waaronder de 172 floppiediskettes, bevatten geen persoonsgegevens. Het belangrijkste aandachtspunt voor het college op dit moment is het zorgdragen voor en informeren van de belanghebbenden. Door middel van een persbericht en een bericht op de website en sociale media worden inwoners van Teylingen geïnformeerd over de uitkomsten van het onderzoek naar het gevonden materiaal. Mochten inwoners uit Warmond toch vragen p 1 van 12

2 hebben naar aanleiding van dit bericht, dan willen we die graag beantwoorden. Onze medewerkers zijn woensdag en donderdag bereikbaar tussen 8.00 uur en uur op nummer Middels de bijgevoegde raadsmededeling informeren we de gemeenteraad. De gebeurtenissen in Warmond zijn voor ons daarnaast aanleiding om onze werkwijzen, met het informatiebeveiligingsbeleid in de hand, nogmaals kritisch tegen het licht te houden. Bevoegd portefeuillehouder: Carla Breuer HET COLLEGE VAN BURGEMEESTER EN WETHOUDERS AANHEF Bijgevoegde bijlage(n): Feitenonderzoek Raadsmededeling Appendix bij attingo data rescue rapport MOTIVERING Volgende feiten gaan aan de beslissing vooraf: Op de sociale media plaatste de journalist Bart Mos (Telegraaf) dinsdagavond 6 september 2016 een filmpje over het voormalig gemeentehuis van Warmond. Het filmpje laat zien dat enkele jongens in het pand zijn en de kluis openen en in gaan. Te zien is dat er documenten zijn achtergebleven in de kluis. Onderzoek heeft uitgewezen dat na de verhuizing uit het gemeentehuis in 2006 documenten en Dat tapes in het pand zijn achtergebleven die persoonsgegevens bevatten. De documenten en tapes stammen uit de periode tot en met In dit geval is de Wet bescherming persoonsgegevens van toepassing. Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat de gemeente de persoonsgegevens die zij verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet bijvoorbeeld gedacht worden aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten. p 2 van 12

3 Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. Er hoeft dan geen melding gedaan te worden aan de Autoriteit Persoonsgegevens. Niet ieder datalek hoeft gemeld te worden aan de Autoriteit Persoonsgegevens. Dit moet als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Uit voorzorg heeft de gemeente op 9 september een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. Naar aanleiding van de uitkomsten van het onderzoek en na consultatie van de Informatiebeveiligingsdienst (IBD) hebben wij geconcludeerd dat er geen aanwijzingen zijn voor onrechtmatige verwerking van de persoonsgegevens door derden. Vervolgonderzoek is daarom niet noodzakelijk. We brengen een algemeen informerend bericht uit voor onze inwoners. Ook stellen we de inwoners van Warmond in de gelegenheid om vragen te stellen aan de gemeente. Wij zullen de AP informeren over onze conclusies en aanpak bij de definitieve melding. Deze beslissing wordt genomen om volgende redenen: 1.1.Het rapport en de technische analyse gaan nader in op het gevonden materiaal, de oorzaken van het achterblijven van het materiaal en de acties die genomen zijn na het aantreffen van het materiaal. 2.1 De tapes bevatten persoonsgegevens van alle inwoners van Warmond in de periode 1997 tot De tapes zijn back-up tapes van het complete systeem van de gemeente Warmond inclusief de Gemeentelijke Basis Administratie (GBA) Dit vraagt om goede communicatie waarbij sprake is van zorgvuldig informeren en het bieden van alle ruimte voor het stellen van vragen. 2.2 De gemeente heeft geen enkele aanwijzing dat derden onbevoegd gebruik hebben gemaakt van het materiaal. De gegevens en gegevensdragers zijn sterk verouderd. De gevonden materialen zaten onder het stof en waren deels verweerd en aangetast door vocht. Er is in de periode sinds 2006 geen signaal gekomen dat wijst op mogelijk misbruik van gegevens. 3.1 We willen de raad informeren over de vorm en inhoud van het gevonden materiaal en over de gebeurtenissen en toegankelijkheid van het materiaal in de periode We willen de raad informeren over de aanbevelingen die geformuleerd zijn naar aanleiding van de vondst van de documenten in Warmond. De aanbevelingen zijn gericht op de verhuisbewegingen die de komende maanden plaats gaan vinden in het kader van de HLT-organisatie maar ook het informatiebeveiligingsbeleid. Beslist het volgende: p 3 van 12

4 BESLISSING Besluitpunt 1: Kennis te nemen van het Rapport "Achtergebleven documenten gemeentehuis Warmond" en het analyseresultaat met betrekking tot de gevonden tapes. Besluitpunt 2: In te stemmen met de aanbevelingen in het rapport "Achtergebleven documenten gemeentehuis Warmond" en de gekozen communicatieaanpak richting de inwoners van de gemeente Teylingen in het algemeen en de inwoners van Warmond in het bijzonder" Besluitpunt 3: In te stemmen met de verzending van bijgevoegde raadsmededeling naar de raad van de gemeente Teylingen. BIJKOMENDE INFO BIJ HET BESLUIT Bedrijfsvoering Interne Dienstverlening Financiële consequenties: Met de analyse van de Dat tapes zijn kosten gemoeid. Deze kosten bedragen ,- en komen ten laste van de post Diensten derden directie. BIJLAGEN DIE INTEGRAAL DEEL UITMAKEN VAN HET BESLUIT Raadsmededeling p 4 van 12

5 Raadsmededeling RAADSMEDEDELING (van het college aan de gemeenteraad) R a a d s m e d e d e l i n g n r. : 2016 V a n A a n Het college De raad O n d e r w e r p : Achtergebleven materiaal Gemeentehuis Warmond D a t u m b e s l u i t v a n c o l l e g e 11 oktober 2016 O n t v a n g e n g r i f f i e d. d. B e h a n d e l i n g c o m m i s s i e B F T d. d. 1 2 o k t o b e r ( v i a l i j s t i n g e k o m e n s t u k k e n ) B e h a n d e l i n g r a a d d. d. ( v i a l i j s t i n g e k o m e n s t u k k e n ) I n h o u d m e d e d e l i n g Onderzoek achtergebleven materiaal in het oude gemeentehuis Warmond Op dinsdagavond 6 september kreeg de gemeente berichten dat op sociale media een filmpje over het voormalig gemeentehuis van Warmond circuleert. Het filmpje laat zien dat enkele jongens in het pand zijn en de kluis openen en in gaan. Te zien is dat er spullen zijn achtergebleven in de kluis. Dezelfde avond is er melding gedaan door de gemeente bij de politie. Het pand is door de politie geschouwd en opnieuw dichtgezet. Vanaf dat moment was het pand ontoegankelijk voor mensen. De spullen zijn gedurende de volgende dagen direct door medewerkers van de gemeente, in overleg met de partij die het pand sinds 2014 in eigendom heeft, het materiaal uit het gemeentehuis gehaald. Nadat het materiaal was veiliggesteld heeft het college zorgvuldig laten onderzoeken welk materiaal in het pand was achtergebleven. Daarbij is tevens nagegaan of vervolgstappen nodig zijn. Ook heeft het college laten onderzoeken hoe dit heeft kunnen gebeuren. Tijdens de hele onderzoeksperiode is er nauw contact geweest met de Autoriteit Persoonsgegevens en is de gemeente geadviseerd door de Informatiebeveiligingsdienst van de VNG (IBD) over de te nemen stappen. Uit voorzorg is op 9 september, dus binnen de verplichte 72 uur, een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Informatiebeveiligingsdienst (IBD) De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. Autoriteit Persoonsgegevens (AP) De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. De AP toetst de melding en de stappen die een gemeente neemt naar aanleiding van een mogelijk datalek. p 5 van 12

6 In het leegstaande pand zijn naast veel papierafval en ander restmateriaal, 66 brieven, diverse documenten, 172 floppydisks en 60 verouderde DAT tapes gevonden. Daarnaast zijn enkele bankafschriften aangetroffen van het regionaal overleg Ambtenaren Rampenbestrijding. Het materiaal lag onder een laag stof en was deels verweerd en aangetast door vocht. De brieven en floppydisks zijn door de gemeente onderzocht. Op 171 floppies stond geen gevoelige informatie. Op 1 disk stonden onvolledige gegevens van de forensenbelasting die niet herleidbaar waren naar personen. De 66 brieven kwamen uit de periode 1989 tot 1986 en waren gericht aan personen die inmiddels allemaal overleden zijn. Op de bankafschriften van het regionaal overleg Ambtenaren Rampenbestrijding zijn adressen van de oud penningmeesters van dit overleg te lezen. Deze penningmeesters worden geïnformeerd door de gemeente. Omdat de gemeente de specialistische apparatuur en deskundigheid voor analyse van de tapes niet in huis heeft, hebben we de tapes laten analyseren door een deskundig bedrijf dat daarvoor wel is toegerust. De tapes zijn van wisselende kwaliteit en niet allemaal (goed) leesbaar. Op de tapes zijn opslagbestanden (backups) gevonden van de gemeente Warmond uit de periode De opgeslagen gegevens zijn een directe afspiegeling van documenten die behoorden bij de taken die de gemeente uitvoerde in die periode. De backups zijn in bijna alle gevallen totaal backups en geen backups met alleen wijzigingen ten opzichte van de vorige back-up (incrementals). Er zijn tapes met bestanden van de gemeentelijke basis administratie (GBA). Het gaat hierbij om onder andere namen, adressen en woonplaats. Andere relevante gegevens in het GBA zijn nationaliteit, verhuizingen en sofinummer (het huidige burgerservicenummer). Er zijn ook tapes met bestanden die door onze organisatie zelf zijn gemaakt, mét of zonder specifieke applicaties. Tenslotte zijn er tapes met onbekende bestandsformaten, waar geen informatie meer op te lezen is. De uitkomsten gaven aan dat de tapes verouderd zijn, en deels lastig in te lezen en beschadigd. Sinds 2006 heeft de gemeente geen enkele aanwijzing gehad dat derden onbevoegd gebruik hebben gemaakt van het materiaal dat aanwezig was in het gemeentehuis in Warmond. Gezien de ouderdom van de gegevens en wijze waarop de bestandgegevens zijn aangetroffen, hebben wij na advies van de IBD geconcludeerd dat vervolgonderzoek niet nodig is. Deze conclusie nemen we op in de definitieve melding bij de AP. Wet bescherming persoonsgegevens Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat de gemeente de persoonsgegevens die zij verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp). De gemeenten Teylingen en de Wet bescherming persoonsgegevens De gemeente Teylingen heeft conform de bepalingen in artikel62 tot en met 64 van de wet persoonsgegevens een privacyfunctionaris aangewezen. Deze functionaris heeft de contacten met de AP onderhouden. De burgemeester is aangewezen als portefeuillehouder Gegevensbescherming. Daarnaast kent Teylingen een informatiebeveiligingsfunctionaris. Deze functionaris heeft de contacten onderhouden met de IBD. p 6 van 12

7 Gevolgen voor inwoners en bedrijven Na consultatie van de IBD en de AP is op 9 september geconcludeerd dat er risico was op een datalek. Conform de richtlijnen is door de gemeente uit voorzorg een voorlopige melding gedaan. Na onderzoek van het materiaal is gebleken dat het materiaal sterk verouderd is en deels in slechte staat en aangetast door vocht. Sinds 2006 heeft de gemeente, zoals eerder aangegeven, geen enkele aanwijzing gehad dat derden onbevoegd gebruik hebben gemaakt van het materiaal dat aanwezig was in het gemeentehuis in Warmond. Gezien de context van deze casus betekent dat in termen van de wet meldplicht datalekken dat we eventueel betrokkenen, buiten de reeds geïnformeerde medewerker, niet persoonlijk hoeven te informeren. Het college vindt het echter wel belangrijk de inwoners en bedrijven goed te informeren. We brengen daarom wel een algemeen informerend bericht uit. Ook willen we de inwoners van Warmond gelegenheid bieden om vragen te stellen aan de gemeente. De casus en conclusie zijn voorgelegd aan de IBD (informatiebeveiligingsdienst voor gemeenten). De IBD heeft in een gesprek met de AP (autoriteit persoonsgevens) onze casus besproken. Op basis van onze gesprekken met de IBD hebben wij het vertrouwen dat deze werkwijze ondersteund wordt. De IBD heeft ons per telefoon meegedeeld dat de AP niet onwillig tegenover deze stelling staat. Hoe kon dit gebeuren? Wat is gebeurd is niet goed te praten. Dit past ons inziens niet bij een professionele organisatie. Na de geleidelijke uithuizing in de periode hadden geen data in het gemeentehuis mogen achterblijven. Bij de overdracht had het pand bezemschoon moeten worden opgeleverd. Dat het toch heeft kunnen gebeuren heeft te maken met de geleidelijke manier waarop het pand is afgestoten. Zo is na 2006 een aantal spullen blijven staan omdat er nog in het pand werd vergaderd. Ten tijde van het vertrek uit het gemeentehuis golden andere gewoonten omtrent vernietiging van gegevens dan nu. Het is onduidelijk wie eindverantwoordelijk was voor de coördinatie van het opruimen en vernietigen van spullen. Pas eind december 2005 was bekend wie de nieuwe leidinggevenden van de gemeente Teylingen werden en waar de medewerkers geplaatst werden. Er bestonden cultuurverschillen tussen de verschillende gemeenten. Op het moment van daadwerkelijke overdracht van het pand werd verondersteld dat in ieder geval werkdocumenten al lang waren weggehaald. Het materiaal dat aanwezig was, werd gezien als afval. Vervolgacties Het belangrijkste aandachtspunt voor het college op dit moment is het zorgdragen voor en informeren van de belanghebbenden. Door middel van een persbericht en een bericht op de website en sociale media zijn inwoners van Teylingen geïnformeerd over de uitkomsten van het onderzoek naar het gevonden materiaal. Mochten inwoners uit Warmond toch vragen hebben naar aanleiding van dit bericht, dan willen we die graag beantwoorden. Onze medewerkers zijn woensdag en donderdag bereikbaar tussen 8.00 uur en uur op nummer Alle gevonden informatie zal na uitspraak van de AP, conform het huidige vernietigingsbeleid, vernietigd worden. De gebeurtenissen in Warmond zijn voor ons daarnaast aanleiding om onze werkwijzen, met het informatiebeveiligingsbeleid in de hand, nogmaals kritisch tegen het licht te houden. Het college van B&W van de gemeente Teylingen heeft op 5 april 2016 het Informatiebeveiligings- beleidsplan voor de gemeente Teylingen vastgesteld. Dit informatiebeveiligingsbeleid is een kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen en te waarborgen, zodat we voldoen aan relevante wet- en regelgeving. p 7 van 12

8 Het is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG). Daarnaast zullen uiteraard de protocollen die bijvoorbeeld gelden voor verhuizing en uit dienst treden van medewerkers opnieuw bekeken en waar nodig verscherpt worden. Dit ook met het oog op de komende verhuisbewegingen in het kader van de start van de HLT-organisatie. Een medewerkersbijeenkomst wordt gehouden om alle medewerkers te informeren. In alle teams zal de komende weken nogmaals aandacht besteed worden aan naleving van het informatiebeveiligingsbeleidsplan. Daarbij zal gekeken worden of aanscherping van de afspraken nodig is. Onderdeel daarvan is aandacht besteden aan risico s die specifiek bij de eigen werkzaamheden horen. Op strategisch niveau zullen B&W en MT aandacht besteden aan het risicoprofiel van de gemeente. Kwetsbaarheidsreductie, ook op het gebied van informatiebeveiliging, is één van de drie K s in het kader van de HLT-organisatie. Hier zal de komende tijd meer aandacht aan besteed worden. B i j l a g e n: Middels de raadsmededeling kan het college informatie geven aan de gemeenteraad. De ontvangen mededelingen worden geplaatst op de lijst van ingekomen stukken. Raadsleden kunnen verzoeken een raadsmededeling op de agenda te plaatsen. p 8 van 12

9 Goedgekeurd door het college van burgemeester en wethouders in vergadering van 11 oktober 2016 p 9 van 12