Beveiligingsplan Suwi 2016

Transcriptie

1 Beveiligingsplan Suwi aurr-1110::. da11/111nad1el ' rllpl u<m<tntc,ç:::::::::::- ljj r<7i;rm O N l~ikoog Ferwe rd erad i e l~ -

2 Inhoud INLEIDING... "... "" ""... "... "... ".... "... "... "... "... 3 Leeswijzer JURIDISCH KADER".. "." INFORMATIEBEVEILIGING."""".. "... "... ".. "".. "... "... ""... "" Inleiding... "... "... "."... ".. ".. ""... """... ".".""."."".".""""."... "."""... ". ""5 2.2 Doelbinding... " "".. "."... ""... ""... "" Informatiebeveiliging " Fysieke beveiliging... ""... """... "... "... "... "" Digitale beveiliging... "."... """... "... "... ".. "... "... "" " Security-officer Beveiliging bij gemeenten.. "... " " ""... ".. """... ".. """... " ".. " Baseline Informatiebeveiliging Gemeenten (BIG) "... "... " Meldplicht datalekken.".. "... "... " SUWINET-INKIJK."... "... "..... " Inleiding.. "... ".. "... "... ".. "..... " Wie mag Suwinet gebruiken en waarvoor?... "... " Gestapelde autorisaties... ""... "... " Logging en gebruiksrapportages... "... "... "... "... ".".. "... "."... "."". " Specifieke rapportages... "... "... ""... "... " "".. ".". "." ". """".. " " ". "" " "... ".". "".12 4 TAAKBESCHRIJVING SECURITY-OFFICER "... "... ".. "... "... "... "... "... "... " Inleiding.. "... "... "... "."... """... ""... ".. """... ".. ".. ""... ""... ""... " Taken security officer ".""... """"." "".. ".. "".. ".. "... ".".. ".. "".. "."" CONTROLE GEBRUIK SUWINET-INKIJK... "."... "... "."... "... "... ".. "... " Algemeen... "... "... "... "... " Controle gebruik Suwinet-lnkijk... " Procedure autorisaties... "." Inleiding."... "... ".. """... ".. ".. "... " "... "... ".""... " "... "... " Procedure autorisatie Suwinet-lnkijk "... "... "... "... "... ".".".. ".. " Uitgangspunten toekenning autorisaties Suwinet-lnkijk... "... ""."... ".. "... ".. " Periodieke controle autorisaties BIJLAGE: PROTOCOL INZAGE EN CORRECTIE."."... "... ""."... ".. " " " "... ".. "" Inzage door cliént in eigen gegevens... ".. "..... "."... "... " "".... "..... ".. "... ".. 17 Inzage door gemachtigde in cliëntgegevens. ".. "... "... "... ".. "... """."... ".. "... "... ".17 Cliént verzoek om correctie... " Gemachtigde verzoekt om correctie... ".. "... ".. "... "... ".. "... "... ".. ""... ".".".17 BIJLAGE: 10 GOUDEN REGELS INFORMATIEBEVEILI GING... """... "."".""... "... ".. "... ".".. 18 BIJLAGE: WET- EN REGELGEVING... "... ""... " ""... "... ".. " Beveiligingsplan... "... "... "... ".. "... "... "... " ".. " Geheimhoudingsplicht... " BIJLAGE: AFKORTINGEN "... ""... " BIJLAGE: VERKLARING RECHTMATIG GEBRUIK SUWIN ET.. ".. "... " "... "... "

3 INLEIDING Gemeenten en uitvoeringsorganisaties werken in de keten van werk en inkomen intensief met elkaar samen. Door middel van de elektronische voorziening Suwinet-lnkijk hebben zij daarbij sinds 2002 de beschikking over gegevens betreffende het arbeidsverleden, loon en uitkering, en opleiding van miljoenen Nederlanders. Deze organisaties gebruiken deze gegevens om het recht op uitkering vast te stellen, en de juiste dienstverlening te kunnen leveren. Burgers moeten er van op aan kunnen dat hun privacy daarbij voldoende gewaarborgd is. Gemeenten zijn verantwoordelijk voor de beveiliging van (hun deel van) Suwinet. Zij moeten voldoende maatregelen treffen met betrekking tot doelbinding (gegevens mogen alleen gebruikt worden voor het doel waarvoor ze zijn verzameld) en beveiliging (bescherming van gegevens tegen verstrekking aan personen en organisaties die daar geen recht op hebben). Informatiebeveiliging Gemeenten zijn wettelijk verplicht een beveiligingsplan te hebben 1. In gemeentelijke samenwerkingsverbanden is iedere gemeente verantwoordelijk voor zijn eigen informatiebeveiliging. Verantwoording Als algemene norm geldt de eis dat een organisatie zijn beveiligingsbeleid regelmatig evalueert en zo nodig bijstelt. Deze norm is gebaseerd op artikel 13 Wet bescherming persoonsgegevens. In de Verantwoordingsrichtlijn is deze norm vertaald in de bepaling dat dit eens per jaar gebeurt. De taak om na te gaan of gemeenten volgens deze norm evalueren en bijstellen is nergens belegd. In artikel 169 Gemeentewet is bepaald dat het college in algemene zin verantwoording schuldig is aan de gemeenteraad over het gevoerde bestuur. Gegeven het grote belang van informatiebeveiliging en bescherming van persoonsgegevens ligt het voor de hand dat het college zich hierover aan de gemeenteraad verantwoord. Leeswijzer In hoofdstuk 1 wordt het juridisch kader met betrekking tot informatiebeveiliging en beveiliging van persoonsgegevens geschetst. In hoofdstuk 2 gaan we in op het belang van informatiebeveiliging: waarom moet de informatie beveiligd worden en wat mogen we doen met de informatie. Hoofdstuk 3 gaat specifiek over Suwinet en het gebruik daarvan. In hoofdstuk 4 worden de taken van de security-officer beschreven. In hoofdstuk 5 worden de controleprocedures rond het gebruik van Suwinet beschreven. In hoofdstuk 6 wordt de autorisatieprocedure voor Suwinet beschreven. In de bijlagen zijn het protocol inzage en correctie, de tien gouden regels, de wettelijke bepalingen rond informatiebeveilging en de Verklaring rechtmatig gebruik Suwinet opgenomen. 1 Artikel 6.4 Regeling Suwi 3

4 1. JURIDISCH KADER Het juridisch kader waaraan de socialezekerheidsorganisatie zich voor wat de gegevensuitwisseling dient te houden is vastgelegd in landelijke en sectorale wet- en regelgeving. Grondwet In artikel 10 van de Grondwet is bepaald dat iedereen recht heeft op bescherming van zijn persoonlijke levenssfeer. Ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens moeten wettelijke regels vastgesteld worden. Wet bescherming persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) stelt dat persoonsgegevens alleen voor bepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verkregen. Persoonsgegevens moeten in overeenstemming met de wet en op een zorgvuldige en behoorlijke wijze worden verwerkt. Onder verwerken in de zin van de Wbp moet onder meer worden verstaan het verzamelen, vastleggen, bewaren, opvragen en verstrekken door middel van doorzending. Regeling Suwi De Regeling Suwi bevat voorschriften over de beveiliging van Suwinet en de verantwoording daarover. Artikel 6.4 van de Regeling bepaalt dat de Suwinet-partijen zorg dragen voor de beveiliging van de gegevensuitwisseling en de wijze waarop zij hieraan invulling geven in een beveiligingsplan. Door middel van dit beveiligingsplan geven wij invulling aan deze verplichting. Sociale zekerheidswetten In de socialezekerheidswetten zijn bepalingen opgenomen over de regels die van toepassing zijn bij de uitwisseling van persoonsgegevens. Daarnaast zijn in deze wetten geheimhoudingsbepalingen opgenomen. Wet eenmalige gegevensuitvraag In 2008 is de Wet eenmalige uitvraag (WEU) in werking getreden. In deze wet is bepaald dat in de keten van werk en inkomen bepaalde gegevens slechts één keer bij burgers opgevraagd mogen worden, en dat deze daarna door de andere ketenpartners moeten worden hergebruikt. De wet wordt gefaseerd ingevoerd. In bijlage Il van de Regeling Suwi is vastgelegd voor welke gegevens dit geldt en uit welke bron die gegevens moeten worden geput (zie Overig In de Ambtenarenwet staat dat elke ambtenaar verplicht is 'tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen, voor zover die verplichting uit de aard der zaak volgt'. Schending van deze geheimhoudingsplicht is opgenomen in artikel 272, lid 1 van het Wetboek van Strafrecht. Sinds 1 juli 2007 is in de gemeente Dantumadiel een gedragscode van kracht. Medewerkers die na die datum in dienst treden leggen een ambtseed of gelofte af en ondertekenen de gedragscode. Sinds 1 januari 2009 geldt een gedragscode voor alle ambtenaren in dienst van de gemeente Dantumadiel. Incidenteel worden via externe bureau's tijdelijke medewerkers ingehuurd. Op deze medewerkers is het ambtenarenrecht niet van toepassing, zij leggen geen ambtseed af en tekenen geen gedragscode. Zij dienen een Verklaring rechtmatig gebruik Suwinet (zie bijlage) te ondertekenen voordat zij een Suwinet-autorisatie krijgen. 4

5 2. INFORMATIEBEVEILIGING 2. 1 Inleiding Het doel van informatiebeveiliging is het behoud van de beschikbaarheid (voorkomen van uitval van systemen), de betrouwbaarheid (gegevens zijn niet ongewenst gewijzigd) en de vertrouwelijkheid (onbevoegden kunnen niet bij de informatie). Het belang van informatiebeveiliging is tweeledig. Ten eerste moet de burger er op kunnen vertrouwen dat de overheid zorgvuldig met zijn gegevens omgaat. Ten tweede moeten de leveranciers van gegevens er op kunnen vertrouwen dat de andere partijen in de keten van werk en inkomen zorgvuldig met die gegevens omgaan. Als dat vertrouwen wordt geschaad kan de leverancier besluiten geen of minder gegevens beschikbaar te stellen 2. Dit zal ten koste van de efficiency van de informatievergaring gaan: er geldt een wettelijk verbod om deze gegevens opnieuw bij de burger op te vragen zodat de gegevens via een andere weg bij de andere partij opgevraagd moeten worden. De eenheid Wurk Ynkommen Soarch 0f\/YS) van de productgroep Wolwêzen van de gemeente Dantumadiel verricht op het gebied van werk en inkomen werkzaamheden voor de gemeenten Dantumadiel, Dongeradeel, Ferwerderadiel 3, Kollumerland c.a. 4 en Schiermonnikoog. De werkzaamheden vinden plaats in het gemeentehuis in Damwäld (backoffice) en bij het werkbedrijf NEF in Dokkum en Kollum. De eerste vier gemeenten zullen met ingang van 1 januari 2017 samenwerken in één ambtelijke organisatie. Schiermonnikoog koopt met betrekking tot het sociaal domein diensten in bij deze ambtelijke organisatie. De gemeente heeft informatiebeveiligingsbeleid vastgesteld. In dit beleid zijn onder meer backup-, recovery, en uitvalprocedures vastgesteld. Vanwege bedrijfsgevoelige informatie in deze stukken wordt in dit beveiligingsplan slechts naar het bestaan hiervan verwezen. De eenheid Ynformaasje en Kommuni!<aasje Technology (YKT) van de productgroepgroep Stipe,IJ m d.e gemeente Dantumadiel is onder meer verantwoordelijk voor de volgende ICT-zaken: Beveiliging realiseren tegen interne en externe risicofactoren en beschikbaarheid Installatie, aanpassen en onderhoud van applicaties Operationeel en preventief beheer en onderhoud ICT componenten en applicaties 2.2 Doe/binding Bij het verwerken van persoonsgegevens moet er sprake zijn van doel binding: gegevens mogen alleen verwerkt worden voor het doel waarvoor ze verkregen zijn. De toegang tot informatie moet daarom door zakelijke behoeften beheerst worden. Gelet op de hoeveelheid informatie die beschikbaar is moet deze naar functie gefilterd worden. Zo kan het voor een functionaris die zich bezighoudt met re-integratie nuttig z ijn om te zien of zijn klant de beschikking heeft over een auto, terwijl het voor die functionaris niet nodig is om te zien welke kentekens die klant in de afgelopen jaren op naam heeft gehad. Voor een functionaris die zich bezighoudt met rechtmatigheid kan die laatste informatie wél nuttig zijn. 2.3 Informatiebeveiliging Informatiebeveiliging gebeurt op verschillende manieren. Er kan sprake zijn van fysieke beveiliging, bijvoorbeeld door middel van toegang tot ruimtes waar informatie is opgeslagen, en van digitale beveiliging van computers en bestanden. 2 Brief SVB 22 april 2009: "[".] het ontbreken van waarborgen voor informatiebeveiliging met name bij gemeenten zou kunnen betekenen dat de SVB en de andere organisaties [... ] hun gegevens niet meer ter beschikking stellen." RDW heeft de ervaring dat incidenten met kentekengegevens zich altijd bij gemeenten hebben voorgedaan. 3 Vanaf 1 januari Vanaf 1 januari

6 2.3.1 Fysieke beveiliging BEVEILIGINGSPLAN SUWINET 2016 In het gemeentehuis in Damwäld zijn werkruimtes gescheiden van de publieksruimtes. Toegang tot de werkruimtes is alleen mogelijk met een electronische sleutel welke op persoonsniveau wordt uitgegeven. De applicaties en databestanden bevinden zich op een server welke zich in een beveiligde ruimte in het gemeentehuis in Damwäld bevindt. De serverruimte is alleen toegankelijk voor daartoe bevoegde personen. In de loop van 2016 wordt een ICT-samenwerking met de gemeente Leeuwarden gerealiseerd (Shared Servicecenter Leeuwarden) Digitale beveiliging Op de werkplekken staan PC's waarmee op het gemeentelijk netwerk kan worden ingelogd. De PC's draaien onder Microsoft Windows 7. Updates worden automatisch geïnstalleerd. Op alle PC's draait een antivirusprogramma. Op alle PC's is internettoegang en mogelijk. Bepaalde websites worden op basis van inhoud geblokkeerd. Er is een protocol gebruik internet/ vastgesteld. Na een bepaalde periode van inactiviteit gaat de PC 'op slot' en moet opnieuw ingelogd worden. Gebruikers loggen in op het gemeentelijk netwerk door middel van een unieke gebruikersnaam en wachtwoord. Het wachtwoord is een beperkte periode geldig en moet periodiek worden gewijzigd. Uitgifte van gebruikersnamen en het beheer daarvan wordt gedaan door YKT op aangeven van de teamleider. Per gebruikers[groep] is bepaald welke applicaties en netwerklocaties beschikbaar worden gesteld, afhankelijk van de functie van de betreffende gebruiker. In Dantumadiel geldt een 'cl ean desk'-beleid. Gevoelige informatie wordt in afgesloten kasten en laden opgeborgen. In juli 2011 heeft het college van burgemeester en wethouders van Dantumadiel de Regeling Telewerken vastgesteld. Het is hierbij ook mogelijk om via een https-verbinding vanuit de telewerkplek de gemeentelijke systemen, waaronder Suwinet, te benaderen. In de standaardtelewerkovereenkomst zijn bepalingen over informatiebeveiliging opgenomen. Omdat de beveiliging van de telewerkplek niet is gegarandeerd is het niet toegestaan om Suwinet vanaf een telewerkplek te raadplegen. Via mobiele internetverbindingen kan Suwinet ook buiten het gemeentehuis op laptops, tablets en smartphones worden geraadpleegd. Omdat de beveiliging op deze apparaten niet is gegarandeerd is het niet toegestaan om Suwinet op deze apparaten te raadplegen Security-officer Gemeenten moeten een security-officer (SO) aanwijzen. Dit is een medewerker die specifiek tot taak heeft te bevorderen en controleren dat de beveiliging van Suwinet op orde is. Hiertoe is de coördinator interne controle aangewezen. De SO is geautoriseerd om de gebruiksrapportages op te vragen en te beoordelen. Op basis hiervan kan hij de afdelingsmanager adviseren specifieke rapportages op te vragen Beveiliging bij gemeenten In 2009 heeft de Inspectie voor Werk en Inkomen (IWI) een onderzoek ingesteld naar de informatiebeveiliging bij gemeenten 5. De conclusie van dat onderzoek was dat bij gemeenten de beveiliging en privacy van persoonsgegevens in de Suwi-keten onvoldoende was. Uit vervolgonderzoek van de Inspectie Werk en Inkomen (IW I) in 2011 is gebleken dat de beveiliging van persoonsgegevens bij een aantal gemeenten waarschijnlijk onvoldoende is. Naar aanleiding van dat onderzoek heeft het Ministerie gemeenten opgedragen dit te verbeteren. In 2011 heeft de IWI in een vervolgonderzoek bekeken welke maatregelen gemeenten hebben 5 "Beveiliging en privacy in de Suwi-keten", IW I R09/03, april

7 genomen, en of deze maatregelen voldoende worden geacht 6. Uit dit onderzoek blijkt dat de informatiebeveiliging van de Suwi-keten niet op orde is. Waarborgen voor informatiebeveiliging ontbreken met name bij de gemeenten. De organisatorische invulling van de informatiebeveiliging vertoont bij veel gemeenten lacunes. De logische toegangsbeveiliging wordt onvoldoende benut, autorisaties voor toegang tot gegevens zijn breed en veelal niet actueel zodat medewerkers meer informatie kunnen krijgen dan voor hun functie nodig is. Het gebruik van Suwinet wordt niet gemonitord waardoor oneigenlijk gebruik en/of misbruik niet wordt opgemerkt. In 2013 heeft de Inspectie SZW opnieuw een onderzoek ingesteld. Uit dit onderzoek, een steekproef onder 80 gemeenten, bleek dat slechts 4% voldeed aan de zeven onderzochte normen. Dit was voor de staatssecretaris aanleiding om maatregelen te nemen. Gemeenten krijgen een jaar de tijd om de beveiliging op orde te krijgen. Als eind 2014 blijkt dat dit niet het geval is kan zijn besluiten individuele gemeenten tijdelijk van Suwinet af te sluiten. Het College voor Bescherming van Persoonsgegevens (CBP) heeft aangekondigd in voorkomende gevallen dwangsommen op te leggen Baseline Informatiebeveiliging Gemeenten (BIG) Eind 2013 heeft de algemene ledenvergadering van de Vereniging van Nederlandse Gemeenten een resolutie aangenomen waarin informatieveiligheid als speerpunt benoemd is. Zo moet er onder andere één lid van het college verantwoordelijk voor informatieveiligheid, en krijgt de gemeenteraad een toezichtrol. De Suwinet-beveiliging moet voldoen aan de BIG-normen Meldplicht datalekken Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt) 7. Er is sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Een beveiligingsincident is bijvoorbeeld het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Organisaties hoeven niet ieder datalek te melden aan de Autoriteit Persoonsgegev ens. Volgens de wet moet een organisatie een melding doen als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet - voor zover het gaat om gegevens die via Suwinet beschikbaar zijn- gedacht worden aan: Gegevens over de financiële of economische situatie van de betrokkene (bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens); Gegevens die kunnen worden misbruikt voor (identiteits)fraude (bijvoorbeeld het Burgerservicenummer (BSN). Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Als de aard van de gelekte gegevens daar aanleiding toe geeft is het mogelijk dat een datalek gemeld moet worden waar de persoonsgegevens van slechts één persoon bij betrokken zijn. De melding moet zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek gedaan worden. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. 6 "Vervolgonderzoek Beveiliging en privacy in de Suwi-keten", IW I Nvb-info-11/10 d, december

8 De wet geeft aan dat een organisatie een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad (bijvoorbeeld (identiteits)fraude). Als er persoonsgegevens van gevoelige aard zijn gelekt, dan moet het datalek in principe niet alleen aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene gemeld moet worden. Bij overtreding van de meldplicht datalekken (niet melden van een datalek) uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht 8. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien. 8 Per 1 januari maximaal De bedragen worden elke twee jaar aangepast aan de ontwikkeling van de consumentenprijsindex. Dit betekent dat per 1 januari 2018 een ander bedrag kan gelden. 8

9 3. SUWINET-INKIJK 3.1 Inleiding Suwinet biedt de Suwi-partijen de mogelijkheid elkaars gegevens te raadplegen en over te nemen in de eigen administratie (inkijken), en elkaar gegevens, documenten of andere informatie te verstrekken (m eldingen verstrekken). Via de internetapplicatie Suwinet-lnkijk kunnen gegevens van een persoon worden opgevraagd. Het gaat om privacygevoelige gegevens over onder andere inkomen, arbeidsverleden, vermogen en opleidingen. Dit betekent dat gebruikers van Suwinet-lnkijk over nogal wat privacygevoelige gegevens van burgers kunnen beschikken. Praktijkvoorbeelden van oneigenlijk gefüuik en misbruik Suwinet 9 Een medewerker raadpleegde het Suwinet om tegen betaling informatie te leveren over personen aan een handelsinformatiebureau. Een medewerker gaf informatie over de vermogens- en inkomenspositie van een cliënt aan een drugsdealer. Een gebruiker vroeg via het kenteken informatie op over de persoon die hem die ochtend had aangereden en was doorgereden. Tijdens het Wereldkampioenschap voetbal in 2010 is van tien spelers van het Nederlands Elftal informatie opgevraagd. Na de aanslag op het Koninklijk Huis in Apeldoorn is via het kenteken van de auto van de dader door meerdere gebruikers informatie over de dader opgevraagd. 3.2 Wie mag Suwinet gebruiken en waarvoor? Suwinet mag alleen gebruikt worden binnen de keten van werk en inkomen. Buiten deze keten is gebruik van Suwinet niet toegestaan. Wie mogen Suwinet gebruiken? Geautoriseerde medewerkers bij de (l)gsd van gemeenten die belast zijn met de uitvoering van de wettelijke taken die vallen onder de Participatiewet, IOAW en IOAZ. Dit geldt tevens voor ingehuurde externe capaciteit, bijvoorbeeld een medewerker die wordt ingehuurd via een uitzendbureau. De medewerker werkt dan op het kantoor en onder gezag en toezicht van de desbetreffende gemeente. Niet-Suwipartijen die middels een overeenkomst op grond van art van het Besluit Suwi en conform het aansluit protocol (bijlage 111 Regeling Suwi) een zelfstandige aansluiting hebben op Suwinet: o Belastingdeurwaarders voor het leggen van loonbeslag o RMC's (Regionale Meld- en Coördinatiepunten) voor hulp aan voortijdig schoolverlaters o Afdelingen Burgerzaken voor het bijhouden van de BRP (Basis Registratie Personen). Hiervoor is geen overeenkomst nodig. Nadere regels staan in artikel 3.3 van de Regeling SUWI. Medewerkers die de inburgering verzorgen mogen via Suwinet gebruik maken van het Inburgeringsportaal. Wie mogen Suwinet niét gebruiken? 9 Bron: BKWI. Deze voorbeelden zijn niet uit de gemeente Dantumadiel. In de gemeente Dantumadiel is sinds 2002 éénmaal een geval van oneigenlijk gebruik geconstateerd (gegevens opgevraagd van een bekende Nederlander). 9

10 Suwinet mag bij uitbesteding van taken niet worden gebruikt door medewerkers van de partij waaraan is uitbesteed. Personen onder gezag van een commerciële dienstverlener mogen niet geautoriseerd worden 10. Gemeentelijke medewerkers die andere taken uitvoeren dan de Participatiewet of IOAW en IOAZ en niet behoren tot één van de hierboven genoemde niet Suwipartijen mogen geen gebruik maken van Suwinet. Waar mag iemand Suwinet voor gebruiken? Een gemeente heeft gegevens nodig van andere partijen voor de uitvoering van de Participatiewet, IOAW of IOAZ. Daarmee ontstaat een wettelijke grondslag tot het raadplegen van gegevens 11. Partijen wisselen deze gegevens met elkaar uit via Suwinet 12. Daarnaast zijn er in de Wet bescherming persoonsgegevens (Wbp) algemene regels over de verwerking van persoonsgegevens. Een belangrijke regel is dat gebruik van persoonsgegevens beperkt moet blijven tot de relevante gegevens (art. 11 Wbp). Bij de beoordeling of Suwinet gebruikt mag worden staan drie vragen centraal: 1. Valt deze taak onder de uitvoering van de P-wet/IOAW/IOAZ? 2. Zo ja, staat deze taak/beoordeling expliciet beschreven in P-wet/IOAW/IOAZ? 3. Zo ja, zijn de gewenste gegevens noodzakelijk voor de uitvoering van de uit te voeren taak uit de P-wet/IOAW/IOAZ? Als het antwoord op alle vragen "ja", is raadpleging van Suwinet toegestaan. Dit geldt voor taken als (niet uitputtend): Vaststellen van de rechtmatigheid van de uitkering (art.17 lid 1 PW en art.53a lid 1 en 6 PW, art.14 IOAW/IOAZ) Vaststellen definitieve einddatum van de uitkering na opschorting (art.17 lid 1 PW en art.53a lid 1 en 6 PW, art.14 IOAW/IOAZ) Re-integratie werkzaamheden, ook voor ex-gedetineerden mits het de doelgroep van de P- wet betreft (art. 7 lid 1 PW) Bijzondere bijstand (art. 35, 36, 36b PW) Taken rondom Bbz, Besluit bijstandsverlening zelfstandigen (art. 78f, 78g PW) Terugvordering en Verhaal, bijvoorbeeld het raadplegen van de ex-partner voor vaststelling onderhoudsplicht (art i P-wet, art IOAW/IOAZ) Soms wordt er op basis van de derde vraag een beperking aangegeven. Voor het vaststellen van kostendeling (art. 22a) mag van de medebewoners (niet zijnde de partner van de klant of inwonende kinderen onder 18 jaar) alleen de pagina kostendelerstoets worden geraadpleegd. Het is niet toegestaan om van de medebewoner andere gegevens te raadplegen zoals uitkerings- of inkomensgegevens. Voor de Wet Inburgering mag het Inburgeringsportaal via Suwinet gebruikt worden. De overige pagina's van Suwinet mogen voor pure inburgeringstaken niet gebruikt worden tenzij het een duaal traject betreft (inburgeraar volgt tevens re-integratie). Waarvoor mag iemand Suwinet niét gebruiken? Suwinet mag niet gebruikt worden: Voor de uitvoering van gemeentelijke regelingen zoals de stadspas of onderdelen van armoedebeleid, zoals de Lauwersregeling. Gemeentelijke regelingen mogen alleen in Suwinet worden geraadpleegd als deze regeling is gebaseerd op de Participatiewet, IOAW of IOAZ. Voor de interne controle op juistheid van de beslissingen van de medewerker. Het controleren van de juistheid van de beslissing van een medewerker valt niet onder de uitvoering van de Participatiewet, IOAW of IOAZ, maar onder interne controle. Daarvoor mag Suwinet niet worden geraadpleegd. Voor de controle op de naleving van Social Return. Gemeenten nemen in contracten met leveranciers/dienstverleners passages op over het inzetten van werkzoekenden of 10 Uitbesteden en toegang tot Suwinet gaan niet samen (VN G, 21juli2015) 11 artikelen 64 Participatiewet, 44/45 IOAWllOAZ 12 artikel 62 Wet SUWI 10

11 bijstandsgerechtigden (Social Return). Het controleren of de leverancier/dienstverlener hieraan voldoet, valt niet onder de P-wet, IOAW of IOAZ. Daarom mag Suwinet hiervoor niet worden geraadpleegd: Voor onderzoek naar de effectiviteit van de uitvoering van wetten. Voor de uitvoering van andere wetten zoals WMO, wet op de lijkbezorging, (bestaande) WSW, etc. De Wet gemeentelijke schuldhulpverlening is een Suwi taak. Het is echter nog niet mogelijk om Suwinet voor dit doel te raadplegen omdat een AMvB op grond van de Wet gemeentelijke schuldhulpverlening ontbreekt. Voor de uitvoering van gemeentelijke incasso. Alleen voor de gemeentelijke belastingdeurwaarders geldt dat zij een overeenkomst hebben op grond van art van het Besluit Suwi en conform het Aansluitprotocol (Bijlage 111 Regeling Suwi). Daarmee hebben zij een eigen aansluiting op Suwinet. Tenslotte, de verzamelde gegevens die via Suwinet zijn ingenomen en daarmee aan de gemeente zijn overgedragen (de gemeente is Wbp verantwoordelijke vanaf het moment van overdracht), mogen niet worden hergebruikt of doorgeleverd voor andere doelen dan waarvoor de gegevens oorspronkelijk verzameld zijn. Dit is bepaald in de geheimhoudingsplicht van artikel 74 van de wet Suwi. 3.3 Gestapelde autorisaties Gelet op de hoeveelheid van gegevens die via Suwinet-lnkijk geraadpleegd kunnen worden maakt het systeem gebruik van verschillende autorisaties. Afhankelijk van de functie van de gebruiker kan door toekenning van verschillende autorisaties een op de functie toegesneden filter van raadpleegbare informatie ingesteld worden. Rollen Er zijn in Dantumadiel verschillende functies (rollen) gedefinieerd die Suwinet-lnkijk gebruiken voor het raadplegen van persoonsgegevens: Functie Gebruik Suwinet-lnkijk Consulent Inkomen Consulent Werk Administratie Terugvordering en verhaal Klantcontactcentrum (KKS) I RMC Burgerzaken Gegevens om uitkeringsaanvragen te beoordelen, alsmede gegevens om rechtmatigheid van lopende uitkeringen te beoordelen Gegevens om re-integratiem ogelijkheden van klanten te beoordelen. Gegevens om rechtmatigheid van lopende uitkeringen te beoordelen Onderzoek naar debiteuren (inkomen, vermogen) 'Meekijken' met burger die zijn digitaal dossier op werk.nl inziet Vroegtijdige schoolverlaters tot 23 jaar Adresonderzoek Per gebruiksrol zijn één of meer autorisaties toegekend. Daarnaast kunnen aan een gebruiker-naast deze rolautorisaties- extra autorisaties worden toegekend. 3.4 Logging en gebruiksrapportages Het BKWI is verplicht om gegevens van het gebruik van Suwinet-lnkijk vast te leggen (legging). Het doel van deze legging is tweeledig: enerzijds het tegengaan en controleren van onrechtmatige, onregelmatige of doeloverschrijdende verwerking, anderzijds voor wetenschappelijke en/of statistische doeleinden. De volgende gegevens worden gelogd: Het tijdstip en gebruikersnaam van iedere inlogpoging; Het BSN of andere zoeksleutel waarvan gegevens worden opgevraagd; Iedere bekeken kolom- of overzichtspagina Ook voor deze gegevens geldt het criterium van doel binding: ze worden alleen verzameld en verwerkt voor de doelen zoals hiervoor omschreven. Gebruikers van Suwinet-lnkijk moeten weten dat gegevens over hen worden verzameld en vastgelegd. 11

12 Het BKWI stelt periodiek gebruiksrapportages beschikbaar waarin over de laatste zes maanden onder andere de volgende gegevens worden gerapporteerd: Aantal opvragingen van unieke BSN's; Aantal geslaagde en niet-geslaagde inlogpogingen; Aantal inlogpogingen binnen en buiten kantoortijden; Aantal actieve en inactieve accounts; Opvragingen per pagina Deze rapportages worden eens per kwartaal opgevraagd door de security-officer. Als uit deze rapportages blijkt dat er mogelijk onrechtmatig, onregelmatig of doeloverschrijdend gebruik wordt gemaakt van Suwinet-lnkijk kan de manager van Wolwêzen specifieke gebruiksrapportages opvragen. 3.5 Specifieke rapportages Uit de gebruiksrapportages kan blijken dat er oneigenlijk gebruik of misbruik van Suwinet wordt gemaakt. Dit kan bijvoorbeeld blijken uit een groot aantal mislukte inlogpogingen, inlogpogingen buiten kantoortijden, of een groot aantal bevragingen van één of meer burgerservicenummers. Een daartoe aangewezen persoon kan dan specifieke rapportages opvragen. In deze specifieke rapportages kan dan bijvoorbeeld getoond worden bij welke gebruiker(s) sprake is van veel mislukte inlogpogingen, of van een burgerservicenummer op welk(e) tijdstip(pen) en door welke gebruiker(s) deze is/zijn bevraagd. In Dantumadiel is de manager Wolwêzen aangewezen om specifieke rapportages op te vragen. Ten minste éénmaal per jaar wordt een specifieke rapportage opgevraagd. Dit hoeft niet altijd naar aanleiding van een constatering uit een algemene rapportage te zijn, maar kan een thema-onderzoek onderzoek zijn, zoals bijvoorbeeld: alle mislukte inlogpogingen (gebruikers en tijdstippen), opgevraagde BSN's afgezet tegen de BSN's in de uitkeringsadministratie (laat zien of er gegevens worden opgevraagd van personen waar de gemeente in het kader van werk en inkomen geen relatie heeft), het gebruik van Suwinet-lnkijk van een willekeuri ge gebruiker of rol. 12

13 4 TAAKBESCHRIJVING SECURITY-OFFICER 4. 1 Inleiding Het college van B&W benoemt een security-officer. Deze functionaris is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Beveiligingsplan. Hij bevordert de informatiebeveiliging en de communicatie naar de medewerkers betreffende dit onderwerp. Hij maakt hiervan een verslag en biedt dit met een eventueel aangepast Beveiligingsplan ter vaststelling aan het College van B&W. 4.2 Taken security officer De security officer: Bevordert en adviseert op het gebied van de informatiebeveiliging; Controleert of en in hoeverre beveiligingsmaatregelen worden nageleefd; Voert periodieke controles uit op een rechtmatig gebruik van Suwinet-inkijk; Doet voorstellen tot implementatie of aanpassing van plannen en werkprocessen op het gebied van de beveiliging; Houdt toezicht op het feit dat nieuwe medewerkers (ook extern personeel) worden geïntroduceerd en bekend gemaakt met de beveiligingsprocedures; Fungeert als centraal aanspreekpunt op het gebied van informatiebeveiliging voor zover het Suwinet betreft; Onderneemt actie voor de jaarlijkse evaluatie en het actueel houden van het beveiligingsplan. 13

14 5 CONTROLE GEBRUIK SUWINET-INKIJK 5. 1 Algemeen Door het Bureau Keteninformatisering Werk & Inkomen (BKWI) worden gegevens vastgelegd over het gebruik van Suwinet-lnkijk. Het doel van deze logging is naast wetenschappelijke en statistische doeleinden het tegengaan en controleren van onrechtmatig, onregelmatig of doel overschrijdend gebruik van Suwinet-lnkijk. De volgende gegevens worden gelogd: Het tijdstip van iedere log-in, log-out en andere actie; De gebruikersnaam van degene die inlogt of uitlogt; Burger Service Nummers (BSN) of andere zoeksleutels waarvan gegevens worden opgevraagd worden als actie geregistreerd; Elke actie, zoals de bekeken kolom- of overzichtspagina's. De vastgelegde gegevens worden in een geanonimiseerd overzicht aan gemeenten verstrekt. 5.2 Controle gebruik Suwinet-lnkijk De security officer download of vraagt driemaandelijks de via het Inlichtingenbureau beschikbaar gestelde BKWl-rapportages op. De security officer controleert de rapportages op onregelmatigheden. Bij geconstateerde onregelmatigheden wordt een specifieke rapportage opgevraagd. Ook kunnen van medewerker(s) raadpleeggegevens worden opgevraagd; De security officer gaat na of er geregistreerde accounts zijn die volgens de BKWI rapportages niet actief zijn geweest in de controleperiode en achterhaalt welke medewerkers geen of (te) weinig gebruik maken van Suwinet-inkijk en wat daarvan de reden is; De security officer beoordeelt de geanonimiseerde en op naam gestelde rapportages en doet verslag van de bevindingen aan het afdelingshoofd Welzijn en/of Publiekszaken; De controleverslagen worden bewaard en de resultaten worden opgenomen in het verslag van de jaarlijkse evaluatie van het beveiligingsverslag. 14

15 6 Procedure autorisaties 6. 1 Inleiding De procedure voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn voor het autoriseren van personen voor Suwinet-lnkijk en de controle hierop. Met een autorisatie wordt bedoeld het door het bevoegd gezag verstrekken van een gelegitimeerde toegang tot een of meerdere informatiesystemen van de gemeente. Om toegang te krijgen tot de gegevens is naast de specifieke autorisatie in de desbetreffende applicatie tevens een bevoegdheid nodig op het netwerken en/of het systeemniveau. Deze laatstgenoemde bevoegdheden worden beheerd door systeembeheer. De bevoegdheden binnen de applicatie Suwinet-lnkijk worden toegekend door de security officer. De verantwoordelijkheid voor deze procedure ligt te allen tijde bij het College van B&W, en namens dit college bij het afdelingshoofd Wolwêzen. De uitvoering hiervan en het up to-date houden van de procedure ligt bij de security officer. 6.2 Procedure autorisatie Suwinet-lnkijk Autorisaties voor Suwinet-lnkijk worden per gebruikersrol toegekend; De teamleider verzoekt de security officer de nieuwe medewerker toegang te verlenen tot Suwinetlnkijk; tevens kent hij het autorisatieniveau toe. In geval van een externe (tijdelijke) medewerker ondertekent de medewerker de Verklaring rechtmatig gebruik Suwinet; Bij tussentijdse wijzigingen in taak/functie verzoekt de teamleider de security officer, het autorisatieniveau -voor zover van toepassing- te wijzigen of de toegekende autorisaties in te trekken. Bij vertrek van de medewerker worden de hem/haar toegekende autorisaties direct beëindigd. De teamleider is verantwoordelijk voor het tijdig melden van deze mutaties aan de security-officer; Een verzoek aan de security officer tot toekenning, wijziging of beëindiging gebeurt met een standaardformulier (personeelsmutatieformulier); Het originele autorisatieformulier wordt door de security officer gearchiveerd. 6.3 Uitgangspunten toekenning autorisaties Suwinet-lnkijk Eén van de geconstateerde tekortkomingen is dat autorisaties voor toegang tot gegevens te breed zijn zodat medewerkers meer informatie kunnen krijgen dan voor hun functie nodig is. Bij het toekennen van autorisaties gelden vanuit het oogpunt van doelbinding en privacy-bescherming daarom de volgende uitgangspunten: Alleen medewerkers die Suwinet-gegevens nodig hebben voor het uitvoeren van een wettelijke taak hebben toegang tot Suwinet. In de gemeentelijke organisatie zijn dat in ieder geval geen andere personen dan medewerkers van de afdeling Wurk Ynkommen Soarch, gemeentelijke belastingdeurwaarders en RMC-functionarissen. Op termijn 13 worden hier medewerkers die zich met schuldhulpverlening bezighouden aan toegevoegd. Autorisaties worden toegekend op basis van 'need-to-know': alleen de informatie die nodig is om de functie uit te voeren mag opgevraagd worden. Gemeenten zijn verplicht het Burgerservicenummer (BSN) in de administratie vast te leggen 14. Dit betekent dat van ieder persoon van wie informatie opgezocht moet worden het BSN bekend is. Informatie via Suwinet-lnkijk is daarom alleen via het BSN te benaderen. 13 Op basis van de Wet Gemeentelijke Schuldhulpverlening worden bij AMvB regels gesteld over het gebruik van Suwinet. Deze AMvB is tot op heden nog niet gepubliceerd of in werking getreden. Tot die tijd Is er geen formele basis voor het gebruik van Suwinet voor gemeentelijke schuldhulpverlening. 1 oa. artikel 68 Wl/IJB 15

16 Autorisaties waarbij op andere of meer zoeksleutels dan alleen het BSN naar informatie gezocht kan worden, worden zéér terughoudend toegekend. Bij vertrek van een medewerker of verandering van functie worden de toegekende autorisaties ingetrokken, dan wel aangepast aan de nieuwe functie. De autorisaties worden met inachtneming van deze uitgangspunten op verzoek van de teamleider toegekend door de security-officer. In het verzoek wordt gemotiveerd aangegeven waarom aan een (groep) gebruiker(s) een bepaalde autorisatie moet worden toegekend. 6.4 Periodieke controle autorisaties De security officer controleert jaarlijks de actualiteit en rechtmatigheid van de ingevoerde autorisaties. De wijze van controleren is als volgt: De security officer draait een lijst van gebruikers, gebruikersgroepen en ingevoerde autorisaties voor Suwi net-lnkijk uit; De security officer maakt een inventarisatie van de gebruikers, gebruikersgroepen en de toegekende autorisaties; Vervolgens controleert de security officer of het overzicht van de actieve gebruikers en de samenstelling van de gebruikersgroepen nog actueel zijn en of de bij die gebruikersgroepen behorende autorisaties nog juist zijn; Voor zover nodig actualiseert de security officer het gebruikersoverzicht en de gebruikersgroepen. 16

17 BIJLAGE: PROTOCOL INZAGE EN CORRECTIE Een ieder heeft het recht om zijn gegevens in te zien en zonodig te laten corrigeren. Om de privacy van de cliënt te waarborgen is zorgvuldigheid in de omgang van zijn gegevens geboden. Iemand heeft alleen het recht om zijn eigen gegevens in te zien en te laten corrigeren. Inzage en/of correctie door derden is niet mogelijk. De via Suwinet-inkijk opvraagbare gegevens zijn alleen in elektronische vorm te zien. De gegevens mogen niet lokaal (op harddisk of (USB-)schijf) worden opgeslagen. Als de cliënt inzage wil in, of correctie van zijn gegevens die bij een ketenpartner zijn geregistreerd moet de cliënt naar die betreffende ketenpartner worden verwezen. Inzage door cliënt in eigen gegevens. Een verzoek van een cliënt om inzage in de eigen gegevens kan alleen schriftelijk en met redenen omkleed worden gedaan. Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs. Inzage door gemachtigde in cliëntgegevens Stel vast dat de machtiging schrifteljk is gegeven en nauwkeurig is omschreven. Stel de identiteit van de gemachtigde vast aan de hand van een geldig legitimatiebewijs. Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs. Vraag om het burgerservicenummer van de cliënt, en stel vast dat dit ontleend is aan een officieel document. Maak een print van de geraadpleegde gegevens, of laat de gemachtigde meekijken op het scherm. Vernietig na de inzage de geprinte gegevens. Cliënt verzoek om correctie Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs. Vraag om het burgerservicenummer van de cliënt, en stel vast dat dit ontleend is aan een officieel document. Informeer de cliënt dat hij het correctieverzoek schriftelijk in moet dienen. Maakt een kopie van het verzoek en verstrek deze aan de cliënt. Archiveer de andere kopie in het persoonsdossier. Gemachtigde verzoekt om correctie Stel vast dat de machtiging schrifteljk is gegeven en nauwkeurig is omschreven. Stel de identiteit van de gemachtigde vast aan de hand van een geldig legitimatiebewijs. Stel de identiteit van de cliënt vast aan de hand van een geldig legitimatiebewijs. Vraag om het burgerservicenummer van de cliënt, en stel vast dat dit ontleend is aan een officieel document. Informeer de gemachtigde dat hij het correctieverzoek schriftelijk in moet dienen. Maakt een kopie van het verzoek en verstrek deze aan de cliënt. Archiveer de andere kopie in het persoonsdossier. 17

18 BIJLAGE: 10 GOUDEN REGELS INFORMATIEBEVEILIGING 1. Kennisnemen van het informatiebeveiligingsbeleid Het binnen de gemeente Dantumadiel geldende informatiebeveiligingsbeleid en de bijbehorende richtlijnen, instructies en protocollen zijn op iedereen in onze organisatie van toepassing. 2.Gedragscode Sinds 1 januari 2009 geldt een gedragscode voor alle ambtenaren in dienst van de gemeente Dantumadiel. In de gedragscode wordt achtereenvolgens behandeld: belangenverstrengeling, aanbesteding en transacties, nevenfunties- en werkzaamheden, dienstverlening, informatie, geschenken en giften, gemeentelijke voorzieningen, internet- en gebruik, uitgaven en declaraties, buitenlandse reizen en handhaving. Ambtenaren kunnen worden aangesproken op de naleving van deze gedragscode. De gedragscode is op het Intranet te vinden (Personeelszaken \Algemene informatie\ Integriteit). 3. Wachtwoorden zijn persoonlijk Wachtwoorden zijn strikt persoonlijk en worden uitsluitend door jou gebruikt om toegang tot de betreffende systemen te krijgen. Geef je wachtwoord dus niet aan derden, een college of je teamleider/manager, en bewaar ze op een veilige plek, dus niet in je agenda of een geel briefje op je beeldscherm. 4. Geheimhoudingsplicht Binnen de gemeente wordt veel met persoonsgegevens gewerkt. In verschillende wetten staan geheimhoudingsbepalingen die inhouden dat je persoonsgegevens niet verder bekend mag maken dan voor de uitoefening van je functie noodzakelijk is. 5.Gegevensverstrekking aan derden via de telefoon Het uitgangspunt is dat wij telefonisch geen informatie over personen verstrekken. Ook niet aan personen of instanties die zeggen namens iemand te bellen. 6.Clean desk I clear screen Vertrouwelijke omgang met persoonsgegevens houdt in dat iedere werkplek zodanig is ingericht dat onbevoegden tijdens jouw afwezigheid niet aan deze gegevens kunnen komen. 7.Geen vertrouwelijke gegevens in de prullenbak Het vernietigen van vertrouwelijke gegevens moet op een veilige manier plaatsvinden. Daarom zijn er speciale papierbakken aanwezig. Maak gebruik van deze bakken, gooi geen vertrouwelijke gegevens in de prullenbak. 8.Aanspreken van onbekende personen Spreek personen die niet bevoegd zijn zich in de werkruimtes te bevinden aan, en begeleid ze naar de publieke ruimte. 9.Melden van beveiligingsincidenten Beveiligingsincidenten, zoals een virusmelding, een (poging tot) inbraak of een deur die niet op slot is moeten zo snel mogelijk gemeld worden bij de systeembeheerders of de huismeester. 10. Haast, stress, werkdrukte versus informatiebeveiliging Informatiebeveiliging kost energie en werkt vaak tegen je als je haast hebt en de werkdruk hoog is. Informatiebeveiliging is uitermate belangrijk voor je werk binnen de gemeente Dantumadiel en hoort bij een professionele en bekwame uitvoering van je werk. Neem informatiebeveiliging daarom serieus: je klanten vertrouwen erop! 18

19 BIJLAGE: WET- EN REGELGEVING Beveiligingsplan Artikel 5.22 Regeling Suwi 1. Het UWV, de SVB en het IB rapporteren vóór 15 maart van elk jaar over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. 2. De rapportage wordt vergezeld van een oordeel van een tot de Nederlandse Orde van Register EDP-Auditors toegelaten persoon of van een verklaring van getrouwheid van een dergelijke persoon. Artikel 6.4 Regeling SUWI 1. Het UWV, de SVB, de colleges van burgemeester en wethouders, het IB en op de gezamenlijke elektronische voorzieningen SUWI aangesloten niet-suwl-partijen dragen zorg voor de beveiliging van de gegevensuitwisselingen die plaatsvinden in het kader van de gezamenlijke elektronische voorzieningen SUWI, tegen inbreuk op de beschikbaarheid, integriteit en vertrouwelijkheid, overeenkomstig hetgeen over de voor het stelsel van maatregelen en procedures te hanteren normen wordt bepaald in bijlage 1 ('Stelselontwerp & Beveiliging Gezamenlijke elektronische Voorzieningen SUWI'). 2. Het UWV, de SVB, de colleges van burgmeester en wethouders, het IB en op de gezamenlijke elektronische voorzieningen SUWI aangesloten niet- SUWI- partijen geven ieder in een beveiligingsplan aan op welke wijze zij invulling geven aan het eerste lid. 3. Artikel 5.22 is van overeenkomstige toepassing op het gebruik en de inrichting van de gezamenlijke elektronische voorzieningen SUWI. Geheimhoudingsplicht Artikel 65 Participatiewet, artikel 46 loaw/loaz 1. Het is een ieder verboden hetgeen hem uit of in verband met enige werkzaamheid bij de uitvoering van deze wet over de persoon of zaken van een ander blijkt of wordt meegedeeld, verder bekend te maken dan voor de uitvoering van deze wet noodzakelijk is dan wel op grond van deze wet is voorgeschreven of toegeslaan. 2. Het in het eerste lid vervatte verbod is niet van toepassing indien: a. enig wettelijk voorschrift tot bekendmaking verplicht; b. degene op wie de gegevens betrekking hebben schriftelijk heeft verklaard tegen de verstrekking van deze gegevens geen bezwaar te hebben; c. de gegevens niet herleidbaar zijn tot individuele natuurlijke personen. 3. Ten behoeve van wetenschappelijk onderzoek of statistiek kunnen desgevraagd gegevens aan derden worden verstrekt voorzover de persoonlijke levenssfeer van de betrokkenen daardoor niet onevenredig wordt geschaad. 4. Degene die op grond van de artikelen 63 tot en met 68 (44 tot en met 48 loaw) gegevens verstrekt dient na te gaan of degene aan wie de gegevens worden verstrekt redelijkerwijs bevoegd is te achten om die gegevens te verkrijgen. Artikelen 6 en 12 Gedragscode ambtenaren gemeente Dantumadiel Ambtenaren gaan zorgvuldig en correct om met informatie waarover zij uit hoofde van hun functie beschikken. Oneigenlijk gebruik van kennis, verkregen uit hoofde van de functie, is niet toegestaan. 6.2 Ambtenaren gaan vertrouwelijk om met privacygevoelige gegevens, overeenkomstig de Wet Bescherming Persoonsgegevens. 6.3 Ambtenaren houden geen informatie achter, tenzij deze geheim of vertrouwelijk is, of wanneer het niet geven van informatie mogelijk is op grond van artikel 10 van de Wet Openbaarheid van Bestuur. 6.4 Ambtenaren maken niet ten eigen bate gebruik van, in de uitoefening van de functie, verkregen informatie. 6.5 Ambtenaren brengen geen persoonlijke en/of gevoelige informatie naar buiten via internet (weblog, ) of andere media. 6.6 Ambtenaren dragen er zorg voor dat zij de informatie op hun werkplek (bureau, kast, PC) zodanig beheren dat onbevoegden er geen kennis van kunnen nemen. 6.7 Ambtenaren beheren informatie zodanig, dat onbevoegden geen kennis kunnen nemen van informatie opgeslagen op externe computermiddelen (zoals usb-slicks, cd-roms en dergelijke.) 12.1 Ambtenaren zijn ieder voor zich verantwoordelijk voor het naleven van deze gedragscode Indien het vermoeden bestaat dat een ambtenaar zich niet aan de bepalingen van deze gedragscode houdt, stelt de gemeentesecretaris een onderzoek in. Hij kan dit doen uit eigen beweging, dan wel op verzoek van een leidinggevende of collega-ambtenaar. 19