Rapportage informatieveiligheid en privacy gemeente Delfzijl

Transcriptie

1 Rapportage informatieveiligheid en privacy gemeente Delfzijl Achtergrond Als gemeente leggen wij vanaf 2017 verantwoording af aan de gemeenteraad over informatieveiligheid. Dit is in 2013 vastgelegd in de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente'. Afgesproken is destijds om de gemeenteraad te informeren via een aparte paragraaf in het jaarverslag. Inmiddels kunnen gemeenten er ook voor kiezen een separate rapportage informatiebeveiliging aan de raad te verstrekken. Wij kiezen voor deze laatste behandeling. Reden voor deze keuze is het belang dat wij hechten aan het onderwerp; wanneer informatieveiligheid 'slechts' als een van de onderdelen in een veel groter jaarverslag wordt behandeld, achten wij de kans dat het onderwerp ondersneeuwt te groot. In de genoemde resolutie uit 2013 is formeel niks afgesproken over verantwoording omtrent privacy. Echter, hoewel informatieveiligheid en privacy twee verschillende aandachtsgebieden zijn, merken wij in de praktijk dat ze veel overlap hebben. Zeker in combinatie met het van kracht worden van de nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG) op 25 mei jl., menen wij daarom dat het toegevoegde waarde heeft ook op het gebied van privacy de stand van zaken aan u te schetsen. Noodzaak aandacht voor informatieveiligheid en privacy Het leeuwendeel van de gemeentelijke dienstverlening verloopt inmiddels digitaal. Dit zorgt ervoor dat communicatie tussen burgers, bedrijven en (gemeentelijke) overheid steeds makkelijker gaat. Om een kwalitatief hoogwaardige en efficiënte dienstverlening te kunnen blijven leveren, is de gemeente steeds meer afhankelijk van zowel een gedegen digitale infrastructuur als van het voorhanden hebben van betrouwbare informatie. Met de 'digitale afhankelijkheid' komen helaas ook de beveiligingsincidenten. Regelmatig worden we in de praktijk en via de media geconfronteerd met nieuws over bijvoorbeeld beschadiging of vernietiging van gegevens, misbruik van persoonlijke gegevens en financiële schade als gevolg van het misbruik. Reden genoeg om als gemeente te zorgen voor beveiliging van de informatievoorziening. Daarnaast verwachten burgers en bedrijven dat de gemeente zorgvuldig omgaat met privacygevoelige informatie. Om goede, veilige dienstverlening te kunnen garanderen en tegelijk de privacy van inwoners te kunnen waarborgen, is het noodzakelijk dat er voortdurend aandacht is voor kwetsbaarheden in de informatieuitwisseling binnen de gemeente. Bij het 'goed omgaan' met informatie en persoonsgegevens, is het van belang dat de juiste technische (ICT) maatregelen worden getroffen. Informatieveiligheid is echter veel meer dan ICT, het gaat in veel gevallen om de mens in de organisatie en de manier waarop deze met risico s omgaat. Is de medewerker zich bewust van die risico s? Zijn bestuurders zich bewust van de risico s van en voor de organisatie? Wat betekent het bijvoorbeeld als informatie niet beschikbaar of betrouwbaar is, of in de verkeerde handen is gekomen? BIG, ENSIA en AVG Informatieveiligheid en privacy zijn veelomvattende onderwerpen, maar drijven op drie belangrijke pijlers: BIG, ENSIA en AVG. Deze pijlers houden onderling sterk verband met elkaar. De afgelopen jaren heeft de gemeente gewerkt aan de geleidelijke implementatie van de zogeheten Baseline Informatiebeveiliging Gemeenten (BIG). De BIG is een standaard-set van diverse beveiligingscontroles- en maatregelen en is als onderdeel van eerder genoemde resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente' vastgesteld. Het beoogde effect van deze BIG is het op orde brengen en houden van da beveiliging van informatie van alle Nederlandse gemeenten. Door in te stemmen met de resolutie heeft ook

2 de gemeente Delfzijl zichzelf verplicht de BIG als basisnormenkader voor informatiebeveiliging te erkennen en daarmee het onderwerp informatieveiligheid serieus te nemen. In de genoemde resolutie hebben de gemeenten de minister van BZK tegelijkertijd opgeroepen de audit- en monitorlast te verminderen en de verantwoordingssystematiek efficiënter te laten verlopen. De minister heeft hier per 2017 invulling aan gegeven met de komst van de zogenaamde Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA is een zelfevaluatie die voornamelijk betrekking heeft op de vraag in hoeverre wij als gemeente voldoen aan de BIG. Met de komst van ENSIA wordt de voorheen bestaande verticale verantwoording (richting verschillende departementen) t.a.v. de Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Digitale Persoonsidentificatie (DigiD), Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet), Basisregistratie Personen (BRP) en Paspoortuitvoeringsregeling (PUN), uitgebreid met een horizontale verantwoording aan de gemeenteraad. Het uitgangspunt is dat daarbij aangesloten wordt op de gemeentelijke P&C-cyclus middels een paragraaf in het jaarverslag of, zoals in dit geval, middels verantwoording via een separate rapportage informatiebeveiliging. Zoals geschetst zijn BIG en ENSIA nauw met elkaar verbonden. Beiden gaan primair over het onderwerp informatieveiligheid. Informatieveiligheid richt zich op het 'veilig houden' van 'alle' informatie die een gemeente tot haar beschikking heeft. Informatieveiligheid gaat over de mate waarin we kunnen werken met betrouwbare informatie en valt uiteen in de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Is de informatie voorhanden op het moment dat dit moet? Zijn de gegevens juist en volledig? Kan er niemand bij de informatie die daar niet bij mag? In relatie tot informatieveiligheid heeft privacy betrekking op een kleiner deel van de totale informatie, namelijk dat deel dat te maken heeft met persoonsgegevens en dat gaat over de zorgvuldige omgang met persoonlijke gegevens van inwoners en bedrijven. Dat privacy verband houdt met 'slechts' een kleiner deel van de totale gemeentelijke informatie, zegt niks over het belang van het onderwerp. Wanneer er namelijk niet zorgvuldig wordt omgegaan met persoonlijke gegevens heeft dit niet alleen invloed op de gemeentelijke dienstverlening, maar wordt tevens de kans dat er een inbreuk plaatsvindt op iemands persoonlijke levenssfeer groter. Hoe belangrijk deze persoonlijke levenssfeer is blijkt o.a. uit de Grondwet waarin staat: 'ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer'. Daarnaast is reeds bekend dat in de ENSIA zelfevaluatie 2018, ook vragen zullen worden opgenomen die specifiek over privacy gaan. Om de persoonlijke levenssfeer te kunnen eerbiedigen en het recht op privacy te kunnen waarborgen, moet er een wet zijn voor de bescherming van persoonsgegevens. In Europees verband is dit de AVG. Deze nieuwe privacywet vervangt de Wet bescherming persoonsgegevens (Wbp). Omdat de AVG een verordening betreft, hoeft deze niet omgezet te worden in nationale wetgeving. De AVG biedt de lidstaten echter nog wel ruimte om bepaalde keuzes te maken. In Nederland zijn deze keuzes uitgewerkt in de Uitvoeringswet AVG (UAVG). Omwille van de leesbaarheid wordt in dit stuk alleen verwezen naar de AVG. Terugkijken Zoals genoemd heeft de gemeente de afgelopen jaren gewerkt aan de geleidelijke implementatie van de BIG binnen de werkprocessen. Hierbij is het 'oude' beveiligingsbeleid zoveel mogelijk gebruikt als basis. Voor 2017 had de gemeente Delfzijl zich tot doel gesteld verder te gaan met de implementatie van de BIG. Er is gekozen voor de implementatie van 24 BIG-beveiligingsmaatregelen. Deze maatregelen waren het gecombineerde (en geprioriteerde) resultaat van een zogeheten GAP-analyse en van de uitkomsten van de ENSIA-vragenlijst. De voorgenomen maatregelen zijn grotendeels genomen en hebben hun beslag gekregen in zowel nieuw informatiebeveiligingsbeleid als in een zogeheten 'procedurehandboek'. Beide documenten zijn in 2018 door het college vastgesteld. Het implementeren van beveiligingsmaatregelen was nodig om ook in de nabije

3 toekomst aan auditnormen te voldoen en om tempo te houden in de gewenste professionalisering van informatiebeveiliging. In het kader van deze professionalisering hebben het werken met behulp van ENSIA en het vaststellen van beleid en handboek, ervoor gezorgd dat de PDCA cyclus en de Planning en Control cyclus verder gestalte hebben gekregen. Hierdoor heeft het gemeentebestuur meer overzicht van de stand van zaken van de informatieveiligheid en wordt men in staat gesteld hier beter op te sturen. Vanuit de gedachte 'drie weten meer dan één', heeft de komst van ENSIA er in 2017 tevens voor gezorgd dat er op informatieveiligheidsgebied steeds meer samenwerking is gezocht met de gemeenten Appingedam en Loppersum. Deze samenwerking beviel zo goed dat afgevaardigden uit de drie gemeenten steevast driewekelijks met elkaar om tafel zijn gaan zitten om kennis te delen, verbeteracties met elkaar af te stemmen en onderling een werkverdeling te maken. Resultaten die dit heeft opgeleverd zijn onder andere gelijk beveiligingsbeleid en zoveel mogelijk gelijke procedures. Naast ENSIA en informatieveiligheid heeft de gemeente gedurende 2017 en in de eerste helft van 2018 veel tijd en aandacht besteed aan het op een adequaat uitvoeringsniveau van de AVG komen. Ook rondom de AVG is veel afstemming gezocht met Appingedam en Loppersum. De komst van deze wet maakt het noodzakelijk om met de inzichten van vandaag opnieuw keuzes ten aanzien van privacy te maken. Dat is begin 2018 begonnen met een inventarisatie binnen welke processen, welke persoonsgegevens verwerkt worden door de organisatie en welke belangen en risico s er zijn voor de betrokkenen (voor burgers, maar ook voor de organisatie zelf). Het benoemen van de relevante processen, het checken welke persoonsgegevens daarbinnen verwerkt worden en het inzichtelijk maken in hoeverre hier 'AVG-proof' mee omgegaan wordt, hebben wij als gemeente uitbesteed aan adviesbureau BMC. Van hen hebben wij per proces (of per 'verwerking') inzichtelijk gekregen wat de stand van zaken is. Deze processen zijn gebundeld in het zogeheten 'Register van verwerkingen', een verplichting vanuit de AVG. Uit gesprekken met BMC bleek het noodzakelijk, naast het opleveren van het register, een aantal maatregelen reeds voor 25 mei te treffen. In dat kader is er een publieke privacyverklaring opgesteld en gepubliceerd op de gemeentelijke website, zijn er procedures vastgesteld ten aan zien van het melden van incidenten en datalekken en is er een procedure vastgesteld met betrekking tot het doen van verzoeken op basis van de AVG door burgers en bedrijven. Tevens is er een inventarisatie gemaakt ten aanzien van de zogenaamde verwerkersovereenkomsten die wel of niet aanwezig zijn. Daarnaast kwam uit de AVG de verplichting naar voren om voor 25 mei een Functionaris Gegevensbescherming (FG) aan te stellen. Samen met de gemeenten Appingedam en Loppersum hebben wij een FG aangetrokken. Deze FG houdt toezicht op de naleving van de AVG binnen de gemeente en geeft gevraagd en ongevraagd advies op het domein privacy. Daarnaast is onderdeel van de opdracht van deze FG om de omvang van zijn werkzaamheden en positionering verder te onderzoeken en hier advies op uit te brengen. Huidige stand van zaken Het feit dat er een hoop gebeurd is op de gebieden informatieveiligheid en privacy betekent niet dat we er zal zijn. Integendeel, de bedreigingen en kwetsbaarheden van nu zijn reeds anders dan die van 10 jaar geleden. Denk tegenwoordig aan het beïnvloeden van verkiezingen tot aan het platleggen van voorzieningen of het publiek worden van grote persoonlijke databases. Ook in de toekomst zullen bedreigingen en kwetsbaarheden blijven veranderen. Mede door deze voortdurende veranderingen in dreigingsbeeld is het een uitdaging de domeinen informatieveiligheid en privacy 'de baas te worden en blijven' en moeten we concluderen dat een 100% toekomstbestendige informatiebeveiliging in absolute zin niet bestaat. Door informatiebeveiliging en privacy echter als cyclisch proces te benaderen (PDCA cyclus), zijn wij er als gemeente van overtuigd dat we toch goed in kunnen blijven haken op de nieuwste ontwikkelingen en de privacy van burgers en bedrijven kunnen

4 waarborgen. Op basis van deze cyclus kijken we momenteel naar de huidige werkzaamheden omtrent informatieveiligheid en privacy en stellen we een plan van aanpak op voor de verbetering hiervan. In dit plan werken we zoveel mogelijk met meetbare doelstellingen. Basis van het geheel vormen de resultaten uit de GAP-analyse, de resultaten uit de ENSIA 2017, het rapport van de rekenkamercommissie, een adviesrapport van BMC met daarin eventueel te nemen maatregelen met betrekking tot de AVG en de suggesties van de FG. Het opstellen van het plan van aanpak is belegd bij een nieuw opgerichte gezamenlijke (in DAL-verband) 'beveiligingsorganisatie'. Na overeenstemming met het MT, verzorgt deze beveiligingsorganisatie de uitvoering van het plan. De kern van de organisatie wordt gevormd door twee nieuwe Chief Information Security Officers (CISO's). Gezamenlijk bedienen zij per heden de DAL-gemeenten op genoemde gebieden. Ze hebben de opdracht de beveiligingsorganisatie verder in te richten en uit te bouwen en volgens een integrale aanpak te zorgen voor nog meer harmonie tussen Delfzijl, Appingedam en Loppersum. In hun werkzaamheden worden ze ondersteund door Juridische Zaken, adviesbureau BMC, beveiligingsbeheerders uit de gemeenten en door de FG. Daarnaast is er budget vrijgemaakt voor het eventueel inhuren van meer expertise en voor het uitvoeren van noodzakelijke verbetermaatregelen. Met de inrichting van een aparte beveiligingsorganisatie realiseren we een structurele inbedding van informatieveiligheid en privacy in onze gemeente en wordt een belangrijke stap naar de inbedding in DAL-verband gezet. Vooruitkijken Hoewel het plan van aanpak momenteel nog opgesteld wordt is daar op hoofdlijnen reeds over te zeggen dat het een periode beslaat van een jaar (1 juli 2018 t/m 30 juni 2019) en dat daarin terugkomen: de verdere implementatie van de BIG, het uitvoeren van de ENSIA zelfevaluatie 2018, de implementatie van de nodige maatregelen op het gebied van privacy/ AVG en bovenal de aandacht voor bewustwording van medewerkers binnen de organisatie aangaande informatieveiligheid en privacy. Informatieveiligheid en aandacht voor privacy zijn vooral kwesties van gedrag en cultuur; beveiligingsincidenten worden vaak veroorzaakt door gedrag van medewerkers en niet door problemen met de techniek. Om gedrag en cultuur binnen de gemeente positief te kunnen beïnvloeden, wordt er ingezet op de versterking van bewustzijn bij medewerkers. Bij het versterken van het bewustzijn van medewerkers ligt er een belangrijke taak bij de CISO's. Door zichtbaar te zijn op de werkvloer, in gesprek te gaan met medewerkers en echt op te treden als aanspreekpunt voor de organisatie, brengen zij het belang van informatieveiligheid en privacy onder de aandacht en maken zij anderen enthousiast voor de onderwerpen. Om bewustzijn verder te vergroten worden er komende periode meer acties uitgevoerd. Zo valt bijvoorbeeld te denken aan acties omtrent het gebruik van wachtwoorden, het omgaan met verwerkersovereenkomsten, het melden van incidenten, omgang met persoonsgegevens, clean desk en clear screan policy, aandacht voor de onderwerpen in werkoverleggen en een online training of kennistoets. Daarnaast wordt er een aparte pagina op intranet ingericht met alle belangrijke informatie over veiligheid en privacy. Hiervoor geldt dat dit in DALverband wordt opgepakt aan de hand van een communicatieplan, als onderdeel van het bredere plan van aanpak. Collegeverklaring Seperaat aan dit verslag wordt u als raad een collegeverklaring ENSIA inzake informatiebeveiliging DigiD en Suwinet aangeboden. Deze verklaring betreft de onderdelen van de ENSIA-systematiek waarover assurance wordt gevraagd van een onafhankelijke IT-auditor. Voor het jaar 2017 betrof dit DigiD en SUWInet. De verklaring omvat het op 31 december 2017 in opzet en bestaan voldoen van de beheersingsmaatregelen aan de geselecteerde normen inzake DigiD (Norm ICT-beveiligingsassessments DigiD versie 2.0) en SUWInet (SUWInet normenkader Afnemers, versie 1.0). In deze verklaring geeft het college van B&W aan in hoeverre bij

5 de gemeente de beheersingsmaatregelen voldoen aan de voor de ENSIA verantwoording geselecteerde normen en indien aan de orde welke onderdelen daarvan zijn uitgezonderd. Delfzijl, 3 juli 2018 Burgemeester en wethouders van Delfzijl