VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
|
|
- Rosa van der Linden
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 VOORBEELD BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
2 Colofon Naam document Voorbeeld Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product en de gemeente Amsterdam voor het aanleveren van hun aanpak. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2
3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot invoering van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de invoering van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van dit document is het leveren van een voorbeeld resultaat van de aanpak die gebruikt kan worden om voor nieuwe processen en systemen een methode te hebben om te bepalen of de BIG afdoende is of niet. De invulling betreft een fictief proces en systeem. Doelgroep Dit document is van belang voor het management van de gemeente, de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Privacy impact assessment gemeenten Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, back-up en in voorkomend geval Cloud diensten De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. 4
5 1 Fictief proces voor dit voorbeeld van de baselinetoets. Informatie wordt steeds vaker als een van de kritieke ingrediënten voor succesvolle bedrijfsvoering beschouwd. Het ontberen van informatie, verminking of uitlekken van informatie aan onbevoegden, kan ernstige negatieve effecten hebben op bijna alle bedrijfsprocessen. Deze baselinetoets is uitgevoerd voor het volgende proces: Leerlingzaken. Het proces Leerlingzaken wordt uitgevoerd door de afdeling Leerlingzaken van een gemeente, het afdelingshoofd is proceseigenaar. Voor het uitvoeren van het proces leerlingzaken wordt een informatiesysteem gebruikt, een leerlingvolgsysteem. Het leerlingvolgsysteem kent de volgende karakteristieken: Input van het systeem komt van: Dienst Uitvoering Onderwijs (DUO)(verzuimmeldingen, rapportages) Scholen (verzuimmeldingen, voor zover niet van DUO via verzuim-vsv.nl) De Gemeentelijke Basisadministratie Persoonsgegevens (GBA)(leerplichtige en startkwalificatie jongeren, d.w.z. alle personen van 0 tot en met 23 jaar en hun relaties binnen de gemeente) GBA-inkijk (buitengemeentelijke personen) Sociale Verzekeringsbank (SVB)(-maatregelen) De leerplicht ambtenaar SUWInet-inkijk (inkomensgegevens) Intergrip De hoofdgebruikers zijn leerplicht ambtenaren van de afdeling en de administratie. Uitvoer van het systeem gaat naar: 1. DUO 2. Centraal agenda systeem van de gemeente 3. Een brievengenerator 4. Openbaar Ministerie (OM)/Halt(proces-verbaal) 5. SVB 6. Zaakmagazijn van de gemeente (status veranderingen) 7. Het documentmanagementsysteem (DMS voor archiveren correspondentie 8. Intergrip 5
6 VRA Geen logo Informatiebeveiliging en Privacy Project: Leerlingvolgsysteem Datum: April 2014 Projectnummer: Geen Projectleider: P. Lub Opdrachtgever: P. roceseigenaar Versie: 0.1 Opsteller: A. Nalist Functie: Informatiemanager Validatie door: I. nformatiebeveiligingsfunctionaris Functie: CISO gemeente test
7 Versiebeheer Versies Versie Datum Auteur Samenvatting van de wijzigingen 0.1 A. nalist 0.X Goedkeuring Versie Datum Naam Business owner / proceseigenaar I&A manager ICT-manager Ter informatie aan Versie Datum Naam Projectbureau CISO-gemeente Voor opmerkingen met betrekking tot deze baselinetoets kunt u zich wenden tot de CISO van deze testgemeente. 7
8 Inhoudsopgave 1 Fictief proces voor dit voorbeeld van de baselinetoets. 5 2 Management samenvatting 9 3 Inleiding Project 10 4 Vragenlijst proces 11 5 Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) Vragenlijst Beschikbaarheid Vragenlijst Integriteit Vragenlijst Vertrouwelijkheid 18 6 Vragenlijst persoonsgegevens 20 7 Analyse en advies Analyse BIV Analyse Persoonsgegevens Advies 24 8
9 2 Management samenvatting Er is een baselinetoets uitgevoerd voor het nieuwe systeem Leerlingzaken van de gemeente. Het doel van deze baselinetoets is om te bepalen of de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) voldoende maatregelen biedt om het vereiste beschermingsniveau van dit systeem af te dekken. Er zijn gesprekken geweest met de proceseigenaar, hoofd Leerlingzaken, en daarmee is deze analyse ingevuld. Het nieuwe systeem Leerlingzaken valt binnen de baseline, dat betekent dat de BIGmaatregelen moeten worden meegenomen in het programma van eisen (PvE). Er is geen Privacy Impact Assessment (PIA) nodig. 9
10 3 Inleiding Deze baselinetoets wordt uitgevoerd om te toetsen of het leerlingvolgsysteem, die de afdeling Leerlingzaken van de gemeente wil aanschaffen, binnen of buiten de baseline valt. Het is één van de verplichte stappen voor het projectdossier om te komen tot een adequate set aan informatiebeveiligingsmaatregelen. 3.1 Project Het doel van deze projectstap is om vast te stellen welke informatiebeveiligingsmaatregelen in het programma van eisen, voor het leerlingvolgsysteem, moeten worden opgenomen bij de aanbesteding. Door middel van deze baselinetoets wordt getoetstof de BIG-maatregelen afdoende zijn, of dat er meer maatregelen nodig zijn.. Deze baselinetoets is een verplicht onderdeel binnen de projectaanpak van de testgemeente. Afhankelijk van de uitkomsten van deze baselinetoets volgt eventueel nog een uitgebreide risicoanalyse voor het leerlingvolgsysteem dat het proces Leerlingzaken ondersteunt. De projecteigenaar is P. roceseigenaar. 10
11 4 Vragenlijst proces Naam en functie geïnterviewde P. roceseigenaar (afdelingshoofd Leerlingzaken) P. Lub (projectleider implementatie en aanbesteding) I. nformatiebeveiligingsfunctionaris Naam en functie proces Kenmerken baselinetoets Het proces Leerlingzaken heeft tot doel het uitvoeren van de handhaving van de leerplichtwet en Regionaal Meld- en Coördinatiefunctie (RMC. Geef een bondige beschrijving van het proces/processen en benoem de proceseigenaar. Deze baselinetoets is uitgevoerd voor het volgende proces: Leerlingzaken. Het proces Leerlingzaken wordt uitgevoerd door de afdeling Leerlingzaken van een gemeente, het afdelingshoofd is proceseigenaar. Voor het uitvoeren van het proces Leerlingzaken wordt een informatiesysteem gebruikt, een leerlingvolgsysteem. Het leerlingvolgsysteem kent de volgende karakteristieken: Input van het systeem komt van: DUO (verzuimmeldingen, rapportages) Scholen (verzuimmeldingen, voor zover niet van DUO via verzuim-vsv.nl) De GBA (leerplichtige en startkwalificatie jongeren, dat wil zeggen alle personen van 0 tot en met 23 jaar binnen de gemeente en hun relaties) GBA-inkijk (buitengemeentelijke personen) SVB (-maatregelen) De leerplichtambtenaar SUWInet-inkijk (inkomensgegevens) Intergrip De hoofdgebruikers zijn leerplichtambtenaren van de afdeling en de administratie. Uitvoer van het systeem gaat naar: DUO Centraal agendasysteem van de gemeente Een brievengenerator OM/Halt (proces-verbaal) SVB Zaakmagazijn van de gemeente (statusveranderingen) Het DMS voor archiveren correspondentie Intergrip 11
12 Maakt het proces/de processen deel uit van een keten/meerdere ketens? Zo ja beschrijf de keten/ketens Het proces Leerlingzaken maakt deel uit van een keten in relatie met DUO en de scholen. Welke eventuele subprocessen zijn te onderscheiden? Welke hoofdactiviteiten worden binnen het proces uitgevoerd en wie doen dat? Er zijn 2 subprocessen die grotendeels gelijk zijn: Leerplicht en Regionaal Meld- en Coördinatiepunt (RMC) Leerplicht wordt uitgevoerd door de leerplichtambtenaar. RMC wordt uitgevoerd door de RMC-ambtenaar. Beide kunnen het proces overnemen echter, leerplicht gaat over leerlingen die tot en met 18 jaar naar school moeten en RMC gaat over leerlingen tussen de 16 en 18 jaar, die nog geen startkwalificatie behaald hebben. Beschrijf welke afnemers het proces heeft. Welke producten nemen zij af en welke kwaliteitseisen stellen zij aan deze producten? Output van het proces Leerlingzaken zoals eerder benoemd: DUO (terugmeldingen, resultaat van uitgevoerde interventies). Centraal agendasysteem van de gemeente (planning van gesprekken met scholen en leerlingen en hun ouders), ook in gebruik door het Klant Contact Center (KCC) van de gemeente. Een brievengenerator, deze wordt gebruikt om brieven te genereren uit het leerlingvolgsysteem. OM/Halt (proces-verbaal), als het nodig is wordt door de leerplichtambtenaar een mini proces-verbaal opgemaakt voor het OM/Halt. Sociale Verzekeringsbank (SVB), ontvangt adviezen van de afdeling. Zaakmagazijn van de gemeente (statusveranderingen). Het DMS voor archiveren correspondentie. Intergrip(statusinformatie RMC en overdracht leerlingen). Beschrijf welke leveranciers het proces heeft. Welke producten leveren zij aan en welke stellen zij aan de verwerking in het te onderzoeken proces? DUO levert verzuimmeldingen. GBA levert via de gemeentelijke broker alle leerlingen tot een bepaalde leeftijd. SUWInet-inkijk wordt gebruikt om te toetsen of een leerling zonder startkwalificatie inkomen heeft. Scholen leveren soms zelf meldingen aan. Intergrip, statusoverdracht RMC. Welke wet- en regelgeving is van toepassing op dit proces en welke specifieke eisen komen hieruit naar voren? De leerplichtwet 12
13 RMC-wet Door welke informatievoorziening wordt het proces ondersteund? GBA-inkijk (web) GBA-koppeling via gemeentelijke makelaar DUO SUWInet-inkijk (web) Intergrip (web) (beoogd) Eigenaar informatiesysteem Het hoofd van de afdeling Leerlingzaken 13
14 5 Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). 5.1 Vragenlijst Beschikbaarheid Gevolgen van het niet beschikbaar hebben van debenodigde informatie of gegevens. (in het ergste geval) B1 Managementbeslissingen: Hoe lang duurt het, voordat het nemen van beslissingen nadelig beïnvloedt wordt door het ontbreken van informatie? B2 Imagoverlies: Hoe lang duurt het voordat er sprake is van imagoverlies? B3 Hapering dienstverlening: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er daadwerkelijk hapering in de dienstverlening aan burgers/bedrijven ketenpartners ontstaat. B4 Wettelijke aansprakelijkheid: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er wettelijke of contractuele verplichtingen niet kunnen worden nagekomen? B5 Additionele kosten: Na welke periode zijn additionele kosten voor de organisatie te verwachten, bij het niet beschikbaar zijn van de applicatie of informatie? Waardering uur dag wee mnd k Argumentatie (verplicht invullen) De managementrapportage wordt maandelijks gemaakt. Het gaat dus eigenlijk om de laatste werkdag van de maand die kritisch is. 1 week, na een week begint het proces vast te lopen en kan aan het proces geen goede invulling gegeven worden. 1 dag, de verwerking van DUO-gegevens gebeurt dagelijks, echter gezien de workload van de ambtenaren zal dit pas na een week merkbaar zij Er kan, indien nodig, ook even op papier gewerkt worden, mits men de planning in de eigen agenda heeft staan. Wettelijk gezien wordt verzuim pas gemeld als een bepaalde waarde overschreden wordt in de tijd, dus er is geen grote haast. Waarschijnlijk geen, de leerling die verzuimd. heeft helemaal geen belang bij interventie. 14
15 B6 Moreel van de medewerkers: Na welke periode is er sprake van een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers? B7 Herstel: Hoe lang duurt het om te herstellen na een langdurige niet beschikbaarheid van een applicatie of informatie? Zijn er hoge herstelkosten? Subtotalen B1-B7 1 5 Medewerkers hebben het systeem nodig om hun werk te doen, na een week geeft dat negatieve invloed. Het is een eenvoudige applicatie die snel hersteld moet kunnen worden, zonder al te hoge herstelkosten. Subtotaal Beschikbaarheid: 6 3 = zeer ernstige schade: de dienstverlening aan de burger/bedrijven/ketenpartners komt in gevaar, raadsvragen, reactie wethouder vereist, berichten in de krant, professionaliteit van het concern, de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners / klanten, budgettaire problemen. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 15
16 5.2 Vragenlijst Integriteit Gevolgen van fouten in informatie of doelbewuste manipulatie van informatie om te frauderen of fraude te maskeren (in het ergste geval) I1 Managementbeslissingen: Kan onjuiste informatie leiden tot onjuiste beslissingen? Waardering Argumentatie (verplicht invullen) Ja dat kan, echter in het proces wordt dit meestal wel ontdekt en rechtgetrokken. I2 Fraude potentie: Zijn er frauderisico s? Wat zijn de gevolgen? I3 Onderbreking van strategische processen: In hoeverre kunnen de kernprocessen van de organisatie onderbroken worden als gevolg van ongeautoriseerde wijziging van, of fouten in informatie? I4 Vertrouwen van het publiek c.q. klanten: Kan het vertrouwen van het publiek geschaad worden door onjuiste informatie? Wat zijn de gevolgen voor de organisatie? I5 Wettelijke aansprakelijkheid: Wat kunnen de gevolgen zijn van het niet voldoen aan wettelijke of contractuele verplichtingen die veroorzaakt worden door onjuiste informatie? I6 Additionele kosten: In hoeverre kunnen er additionele kosten ontstaan door het toepassen van onjuiste informatie? Bijvoorbeeld het moeten herstellen van een corrupte database of opnieuw invoeren van gegevens. I7 Moreel van de medewerkers: Wat zijn de schadelijke effecten op het moreel van medewerkers als u onjuiste informatie gebruikt? Subtotalen I1-I7 7 De kans op fraude is minimaal. Meldingen komen van de scholen via DUO en er moet ook terug gemeld worden. Dit gebeurt wel als een bestand verkeerd wordt ingelezen maar dat is ook herstelbaar. Bovendien kunnen de ambtenaren meestal nog wel doorwerken. Het proces Leerlingzaken is geen strategisch proces van de gemeente en beïnvloed ook geen strategische processen. Het is een handhavingstaak, de informatie die we ontvangen dient juist te zijn. Verwaarloosbaar klein. Verwaarloosbaar klein. Dit beperkt zich tot het inlezen van de back-up, nieuwe bestanden opvragen bij DUO of de GBA. Het is vervelend als een gegeven onjuist blijkt te zijn, maar meer ook niet. Subtotaal Integriteit: 7 16
17 3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van het concern of de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners / klanten, burgers budgettaire problemen. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 17
18 5.3 Vragenlijst Vertrouwelijkheid Gevolgen van onbedoelde of ongeautoriseerde verspreiding van gegevens of informatie (in het ergste geval) V1 Vertrouwen van de burger: Wat zijn de gevolgen voor de gemeente indien de binnen het proces beschikbare informatie te vroeg c.q. niet volgens de regels verspreid wordt? V2 Vertrouwen van het publiek: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie van de organisatie onterecht wordt verspreid V3 Vertrouwen van ketenpartners Kan de gemeente toegang tot de keten geweigerd worden? Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. V4 Vertrouwen van ketenpartners Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. V5 (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden van deze informatie? V6 Additionele kosten: In hoeverre is er sprake van additionele kosten door onterechte verspreiding van deze informatie? V7 Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding van informatie? Waardering Argumentatie (verplicht invullen) Als informatie gelekt wordt over een case waardoor iemand negatief in het nieuws komt dan levert dat zeker klachten en politieke aandacht op. Raadsvragen zijn er nog nooit geweest voor dit proces. Als vertrouwelijke informatie gelekt wordt van klanten van het proces Leerlingzaken, leidt dat tot politieke aandacht en negatieve publiciteit. Waarschijnlijk niet, het betreft een wettelijke taak. Er wordt geen gebruik gemaakt van DigiD. Er kunnen in het geval dat dit gebeurt mogelijk aanvullende eisen (aansluitvoorwaarden) gesteld worden). Dit wordt opgelost er gaan over en weer wel eens bestandverzendingen fout, echter er is nog nooit vertrouwelijke onterecht informatie verspreid. Subtotalen V1-V7 8 3 We verwachten hier niet veel van. We voeren een wettelijke taak uit en er wordt zorgvuldig omgegaan met de informatie. De meldplicht datalekken is er nog niet, als die er wel is bestaat de kans op een boete als er een data lek is en er niet genoeg maatregelen zijn getroffen. Dan zou dit door de hoogte van de boete ook een 3 kunnen worden. Hier hebben we nog nooit last van gehad, als het zou gebeuren is dat niet van invloed op het moreel van de medewerkers van de afdeling. Subtotaal Vertrouwelijkheid: 11 18
19 3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers en afnemers. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 19
20 6 Vragenlijst persoonsgegevens Persoonlijke gevolgen van onbedoelde of ongeautoriseerde verspreiding van persoonsgegevens van betrokkene(n) (in het ernstigste geval) P1 Veiligheid: Is de veiligheid van personen in het geding indien persoonsgegevens uitlekken of onterecht worden verwerkt? P2 Chantage: Kan de betrokkene eventueel gechanteerd worden bij het uitlekken van persoonsgegevens? P3 Identiteits- en financiële fraude: Bestaat de mogelijkheid dat door het uitlekken van persoonsgegevens identiteits- of financiële fraude kan plaatsvinden? P4 Fysieke en geestelijke schade: Kan de betrokkene schade oplopen indien gegevens betreffende de persoon openbaar worden, of onterecht worden verwerkt? P5 Vertrouwen van de burger: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie omtrent personen onterecht wordt verspreid of anderszins wordt verwerkt. P6 (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden/verwerken van deze persoonlijke informatie? P7 Additionele kosten: In hoeverre is er sprake van additionele kosten, door onterechte verspreiding/verwerking van deze Waardering Argumentatie Nee, er worden geen bijzondere persoonsgegevens geregistreerd en door de binding met de leerplichtwet kunnen we ook maar een beperkte groep personen raadplegen. Indien men zich aan de regels houdt en geen details vastlegt die niet mogen. Binnen het proces mogen alleen NAWgegevens en verzuimgegevens worden vastgelegd. Met het BSN en de persoonsgegevens kan identiteitsfraude mogelijk zijn. Als er in het proces Leerlingzaken gegevens worden vastgelegd over details, van bijvoorbeeld een ziekte, dan kan dat zeker gevolgen hebben. Zeker als deze zijn vastgelegd en uitlekken. Echter in de werkinstructie is geregeld dat dit niet mag. De informatie moet worden verwerkt ingevolge de wet, als deze wordt gelekt / verspreid dan kan dit schade opleveren voor de persoon. Verwerken niet, er is een wettelijke taak. Onterecht verspreiden kan een claim tot gevolg hebben. Er kan onder de toekomstige wetgeving datalekken een claim 20
21 persoonlijke informatie? P8 Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding/verwerking van informatie? Subtotalen P1-P9 8 4 Subtotaal Persoonsgegevens (P1-P9): 12 komen, echter voor zover wij weten is er nog nooit data gelekt of onterecht verwerkt. De medewerkers zijn professionals, als er zaken verkeerd verwerkt worden lossen ze dat op. Daar hebben we ook de administratie functie voor. 3 = zeer ernstige schade voor de persoon en de gemeentelijke organisatie: raadsvragen, reactie wethouder vereist, belangrijke partners / burgers en derden stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade voor de persoon, de gemeentelijke dienst: krantenkoppen, vragen van partners / burgers,boete CBP. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 21
22 Algemene vragen m.b.t. doeleinden en doelbinding van de verwerking van persoonsgegevens Ja Nee Argumentatie P9 Heeft u het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgelegd? P10 Worden bestaande persoonsgegevens voor nieuwe doeleinden verwerkt in een bestaand of nieuw systeem? 0 3 Uitvoering van de leerplichtwet, dit doel hoeven we niet vast te leggen aangezien het een wettelijke verplichting betreft. 3 0 Nee, het is een bestaand proces en de applicatie vervangt een verouderde applicatie. P11 Gaat het bij het project/systeem om het nastreven van nieuwe aanvullende doeleinden door bestaande persoonsgegevens, of verzamelingen daarvan, te gebruiken, vergelijken, delen koppelen of anderszins verder te verwerken? P12 Indien u op P11 ja hebt geantwoord: Hebben alle personen/instanties/systemen die betrokken zijn bij de verwerking dezelfde doelstelling met de verwerking van de desbetreffende persoonsgegevens of is daarmee spanning mogelijk, gelet op hun taak of hun belang? P13 Indien u op P11 ja hebt geantwoord: Gelden dezelfde doelen voor het gehele proces? N.v.t. 0 3 N.v.t. Nee, het gaat om een bestaand proces er er zijn geen nieuwe of andere doelstellingen. De gegevens worden niet gekoppeld of gedeeld buiten wat we al deden. P14 Worden de verzamelde/verwerkte persoonsgegevens gebruikt om het gedrag/de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen? P15 Indien u op P14 ja hebt geantwoord: Zijn de betrokkenen daarvan op de hoogte? 3 0 Nee, er wordt geen gedrag voorspeld met de informatie. Er wordt gereageerd op reële signalen en daar wordt naar gehandeld. 0 3 N.v.t. P16 Indien u op P14 ja hebt geantwoord: Zijn de gegevens die hiervoor worden gebruikt, afkomstig uit verschillende (eventueel externe) bronnen en zijn zij oorspronkelijk voor andere doelen verzameld? Subtotaal Persoonsgegevens (P9-P16): Nee 22
23 7 Analyse en advies 7.1 Analyse BIV Score Aantal score boven de baselinenorm Focus Risiconalyse Beschikbaarheid (B1-B7) 6 Geen hoger dan 1 Hoger dan 8, focus op beschikbaarheid Vertrouwelijkheid (V1-V6) 7 Geen hoger dan 2 Hoger dan 14, focus opintegriteit Integriteit (I1-I7) 11 Geen hoger dan 2 Hoger dan 14, focus op vertrouwelijkheid TOTAAL SCORE: 24 De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. Bij Beschikbaarheid aangeven of- en hoe vaak er hoger is gescoord dan een één (2 of hoger). Bij Integriteit aangeven of- en hoe vaak er hoger is gescoord dan een twee (dat is een 3). Bij Vertrouwelijkheid aangeven of en hoe vaak er hoger is gescoord dan een twee (dat is een 3). Het niveau van de BIG bevindt zich op de volgende (BIV)waarden: Beschikbaarheid: Belangrijk (waarde = 1 in de gehanteerde beschikbaarheidsschaal). Integriteit: Hoog (waarde = 2 in de gehanteerde Integriteitsschaal) Vertrouwelijkheid: Vertrouwelijk (waarde =2 in de gehanteerde vertrouwelijkheidsschaal) Vertaald naar de baselinetoets betekenen de uitkomsten het volgende: Norm Beschikbaarheid Integriteit Vertrouwelijkheid 8 of minder = baseline 14 of minder = baseline 14 of minder = baseline Let op: Als er één of meerdere keren een twee (2) is gescoord bij Beschikbaarheid (B) en een drie (3) gescoord is bij de IV + P-rating, dan betekent dat er een verhoogd risico aanwezig is. Op grond hiervan moet, onafhankelijk van de rest van de scores, een diepgaande risicoanalyse uitgevoerd worden. De resultaten van deze analyse zijn dan ook weer input voor de diepgaande risicoanalyse. Focus risicoanalyse Indien de uitkomsten van de BIV-waarden boven de baseline uitkomen kan dit worden gebruikt om een extra focus in de diepgaande risicoanalyse te leggen op het betreffende onderwerp. 23
24 7.2 Analyse Persoonsgegevens Score Aantal scores 3 Persoonsgegevens (P1-P9) 12 0 Verwerking Persoonsgegevens (P10-P16) 0 0 TOTAAL SCORE: 12 0 De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. In de 3+ kolom aangeven of binnen een bepaald aandachtsgebied een 3 is gescoord. Indien één of meer scores voor wat betreft de verwerking van persoonsgegevens hoger is dan 3 dan dient u een Privacy Impact Analyse (PIA) uit te voeren en contact op te nemen met de CISO of gelijkwaardige functionaris. 7.3 Advies De maatregelen uit de Baseline zijn voldoende voor de beveiliging van het onderzochte proces: er zijn geen aanvullende benodigdheden, Het bestaande systeem wordt voldoende beschermt door de BIG.. 24
VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014
Nadere informatieTOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer
Nadere informatieINKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN
INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden
Nadere informatieBASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document BIG Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer
Nadere informatieRESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
RESPONSIBLE DISCLOSURE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Responsible Disclosure Versienummer 1.0 Versiedatum
Nadere informatieMOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0
Nadere informatieTOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober
Nadere informatieVEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen
Nadere informatieCONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum
Nadere informatieIMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum
Nadere informatieHandleiding. Checklist Data Privacy Impact Analyse
Handleiding Checklist Data Privacy Impact Analyse Colofon Naam document Checklist Data Privacy Impact Analyse Versienummer 1.0 Versiedatum 04-06-2018 Versiebeheer Het beheer van dit document berust bij
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieToelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieJaarrapportage gegevensbescherming
Voorbeeld Jaarrapportage gegevensbescherming Jaarrapportage voor het college van Burgemeester en Wethouders Colofon Naam document FG Jaarrapportage College van Burgemeester en Wethouders Versienummer 1.0
Nadere informatieMODEL VOOR EEN VERWERKERSOVEREENKOMST
MODEL VOOR EEN VERWERKERSOVEREENKOMST Colofon Naam document Model voor een verwerkersovereenkomst. Versienummer 2.3 Versiedatum maart 2017 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst
Nadere informatieAnita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014
Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning
Nadere informatieResponsible Disclosure
Handreiking Responsible Disclosure Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Responsible
Nadere informatieINFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg
INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieECIB/U201501573 Lbr. 15/079
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken
Nadere informatieANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum
Nadere informatieMobiele Gegevensdragers
Handreiking Mobiele Gegevensdragers Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Mobiele
Nadere informatieHARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten
Nadere informatieDe 10 bestuurlijke principes voor informatiebeveiliging
Baseline De 10 bestuurlijke principes voor informatiebeveiliging Behorende bij de Baseline Informatiebeveiliging Overheid (BIO) Colofon Copyright 2019 Vereniging van Nederlandse Gemeenten (VNG). Alle rechten
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieDatalekken (en privacy!)
Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer
Nadere informatie2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042
Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons
Nadere informatieECIB/U Lbr. 17/010
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari
Nadere informatiegewoondoenreintegratie
Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in
Nadere informatieGegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG
Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Organisatie gegevenswisseling W&I: Suwinet 25.000 gebruikers Vrij lange historie,
Nadere informatieHOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie
HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Maart 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de Lege
Nadere informatieVRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VRAGENLIJST PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Vragenlijst PIA Versienummer 1.0 Versiedatum April
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken VSNON
Protocol informatiebeveiligingsincidenten en datalekken VSNON vastgesteld d.d. 9 november 08 De Wet Meldplicht Datalekken verplicht scholen om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens
Nadere informatieVeilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieTimeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.
Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy. PNIK Jaarlijkse rapportage aan de burgemeester Privacy 28 januari Internationale
Nadere informatieMobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieDocument Versie: 1.0
Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING
Nadere informatieHOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie
HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Juli 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de
Nadere informatieBASELINETOETS BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
BASELINETOETS BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Baselinetoets BIG Versienummer 1..1 Versiedatum
Nadere informatiePATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag
> Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag sorganisatie Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den Haag
Nadere informatiePrivacyverordening gemeente Utrecht. Utrecht.nl
Privacyverordening gemeente Utrecht Naar een nieuwe Privacyverordening Gemeentelijke Privacyverordening 2003 verouderd. Nieuw: Gemeentelijke privacyfunctionaris sinds 2015 Functionaris Gegevensbescherming
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag
> Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Directoraat-generaal Overheidsorganisatie Directie Informatiesamenleving
Nadere informatieBABVI/U201300696 Lbr. 13/057
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Protocol informatiebeveiligingsincidenten en datalekken... 1 Protocol informatiebeveiligingsincidenten en datalekken... 2 Inleiding... 2 Gebruikte
Nadere informatieImplementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieGegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG
Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Organisatie gegevenswisseling W&I: Suwinet 25.000 gebruikers Vrij lange historie,
Nadere informatieBACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieHANDREIKING PROCES WIJZIGINGSBEHEER
HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer
Nadere informatiePrivacyreglement van De Zaak van Ermelo
Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieProtocol Informatiebeveiliging en Datalekken (PID) Aloysius
Protocol Informatiebeveiliging en Datalekken (PID) Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet. Onderwerp: Protocol
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag
Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording
Nadere informatieInnovatie in een veranderd risicolandschap
Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieSTAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG
STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG Versie 1.00 1 december 2017 Deze handreiking is mede tot stand gekomen door een samenwerking van onder andere VNG, KING, IBD en Kenniscentrum Europa
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 3 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Bron Kennisnet Bewerkt door: KPO Roosendaal, Leon van Iersel Versie Datum Auteur Omschrijving 2.0 25-05-2018 Leon van Iersel Kennisnet versie aangepast
Nadere informatiePrivacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon
Privacyreglement Drive The Care Company b.v. Sint Martinusstraat 70 5911 CK Venlo Telefoon 077 467 40 33 E-mail: info@mentaalspecialist.nl Privacyreglement Versie : 1.1 Versiedatum: 04-06-2008 Inleiding
Nadere informatieSchoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN
Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN 2018 Schoolvereniging Rehoboth Bron: Bewerkt: Kennisnet Schoolvereniging Rehoboth Versie Status Datum Auteur Omschrijving 0.1 concept 14-3-2018
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Minkema College
2018.473 Protocol informatiebeveiligingsincidenten en datalekken Minkema College Vastgesteld door het College van Bestuur op 13 november 2018 Was getekend, H. Heethuis, Voorzitter Inhoud Inleiding... 2
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieAnita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015
Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatieGEHEIMHOUDINGSVERKLARINGEN. Een van de producten uit de operationele variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
GEHEIMHOUDINGSVERKLARINGEN Een van de producten uit de operationele variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Geheimhoudingsverklaringen Versienummer 1.2
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en
Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam
Nadere informatieH t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieContractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatiePrivacyreglement Potenco
Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatieHandreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018
Handreiking Protocol informatiebeveiligingsincidenten en datalekken Stichting KBO Haarlem-Schoten Versie: 27 mei 2018 Bron: Dit document is gebaseerd op het Protocol informatiebeveiligingsincidenten en
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates
Protocol informatiebeveiligingsincidenten en datalekken Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers...
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatiePrivacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het
O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken 1 Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 2 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatiePrivacyreglement. AM Advies & Begeleiding. Mei 2018
Privacyreglement AM Advies & Begeleiding Privacyreglement 2018 AM Advies & Begeleiding Pagina 1 van 10 Privacyreglement AM Advies & Begeleiding Inhoudsopgave Voorwoord...3 1. Kenmerken van de verwerking
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieWat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015
Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen
Nadere informatieIn dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.
Inleiding Nieuwe wet Per 1 januari 2013 is de invoering van de Wet aanscherping handhaving en sanctiebeleid SZW-wetgeving in het kort de Fraudewet - een feit. Doel van deze wet is een hardere aanpak van
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Voila Leusden
Protocol informatiebeveiligingsincidenten en datalekken Voila Leusden 1 Inhoud Inleiding 2 Wet- en regelgeving datalekken 2 Afspraken met leveranciers 2 Werkwijze 3 Uitgangssituatie 3 De vier rollen 3
Nadere informatieProcedure meldplicht datalekken
Procedure meldplicht datalekken Gemeente Bunnik Versie : 2.0 Datum : april 2018 1 Inleiding Dit document omschrijft de procedure van de meldplicht datalekken Bij deze procedure horen twee bijlagen: IBD
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD
ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1. Inleiding In oktober 2011 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties
Nadere informatieWelkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?
Welkom bij parallellijn 1 On the Move 11.00 11.50 uur Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan? 1 IBD-Praktijkdag Work IT Out Hoe kom ik tot een informatiebeveiligingsplan? Jule
Nadere informatieHelp een datalek! Wat nu?
Help een datalek! Wat nu? Een aantal ervaringen uit de praktijk Tonny Plas Adviseur informatie- en ibp-beleid voor schoolbesturen in het po en vo Aanleiding Op 1 januari 2016 is er een meldplicht datalekken
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad
Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad Opsteller: Jan Zonneveld Expertise: Informatiemanagement Besluitvorming: AMO ter advisering op 6 juli 2017 GMR ter instemming
Nadere informatie