Plan van aanpak Privacy

Transcriptie

1 Plan van aanpak Privacy

2 Actieprogramma Hefpunt: privacy

3 Inhoudsopgave Inleiding Kaders Randvoorwaarden Richtlijnen voor het beleid Toepassing van het privacy- en informatiebeveiligingsbeleid Actieprogramma privacy Actiepunten Rol Hunze en Aa s... 6 Bijlagen... 7 Bijlage 1 Handleiding FG... 7 Actieprogramma Hefpunt: privacy

4 Inleiding Eind vorig jaar is bij Hefpunt een start gemaakt met het opzetten van het informatiebeveiligingsbeleid. Een belangrijk onderwerp hier binnen is het omgaan met privacygevoelige gegevens. Om die reden is ervoor gekozen hiervoor een afzonderlijk actieplan op te stellen. Voor het uitoefenen van haar functie maakt Hefpunt voor een belangrijk deel gebruik van persoonsgegevens. Gebruik van persoonsgegevens betekent rekening houden met privacy. De meeste basisregistraties bevatten persoonsgegevens. Dit zijn gegevens die te herleiden zijn tot een specifieke persoon. Denk bijvoorbeeld aan contactgegevens zoals NAW-gegevens (naam, adres en woonplaats), adres en telefoonnummer, maar ook aan de hoogte van een inkomen of uitkering, onroerend goed bezit en bestuursfuncties bij bedrijven en verenigingen. Voor sommige gegevens bepaalt de manier waarop ze worden gebruikt of het om persoonsgegevens gaat. Rekening houden met privacy wil niet zeggen dat er niets mag. Voor de uitvoering van publieke taken geldt zelfs dat gebruik van basisregistraties de norm is, ook als het gaat om persoonsgegevens. Privacy is een onderdeel van het informatiebeveiligingsbeleid. Gezien de privacy-gevoelige gegevens waar Hefpunt mee werkt is het belang dusdanig groot om er een apart projectplan van te maken binnen het informatiebeveiliginsgbeleid. In de uitvoering hiervan worden we ondersteund door Ruben Schutte van Hunze & Aa s. Binnen het waterschap is hij verantwoordelijk voor de uitvoering van het plan van aanpak Privacy. Met de komst van een wijziging op de Wet bescherming persoonsgegevens en de aankondiging van de EVG (Europese Verordening Gegevensbescherming) wordt des te meer duidelijk dat informatiebeveiliging een groot onderdeel is van privacywaarborging van zowel medewerkers als klanten (belastingplichtigen). Om te voldoen aan de geldende wetgeving in 2016 en de wetgeving die op de plank ligt voor daarna, volgt hierbij het actieprogramma 2016 privacy. Actieprogramma Hefpunt: privacy

5 1. Kaders In dit hoofdstuk worden de kaders met betrekking tot het privacybeleid toegelicht aan de hand van de doelstelling, de richtlijnen voor het beleid en toepassing van het actieprogramma privacy Randvoorwaarden Onderstaande zaken moeten worden uitgevoerd om de informatieveiligheid optimaal te organiseren: Hefpunt heeft zicht op de kritieke processen. Hefpunt weet wie verantwoordelijk is voor deze kritieke processen. Hefpunt heeft fall-back scenario s bij uitval van de kritieke processen. Hefpunt heeft risicoanalyses uitgevoerd rekening houdend met afhankelijkheid van haar ketenpartners. Hefpunt weet welke risico s zij accepteert. Hefpunt heeft inzicht in de maatregelen die al genomen zijn en welke niet. De Baseline Informatiebeveiliging is geïmplementeerd bij Hefpunt Er zijn waar nodig aanvullende maatregelen getroffen voor de risico s die Hefpunt niet accepteert. Er ligt een beleidsplan dat is goedgekeurd door het management van Hefpunt. Op basis van het beleidsplan is een informatiebeveiligingsplan opgesteld met daarin het traject voor implementatie van maatregelen (art. 13 Wbp). Hefpunt heeft incidentmanagement ingevoerd. Hefpunt heeft een procedure ingericht waarbij de leden van de Gemeenschappelijke Regeling direct op de hoogte worden gebracht van privacyincidenten. Hefpunt is, bij voorkeur, aangesloten bij een CERT. (Computer Emergency Response Team) = crisisteam bij een ICT-storing Hefpunt toetst of zij in control is en geeft daar transparantie over aan haar ketenpartners. Informatieveiligheid en privacy worden als factor meegenomen in beslissingen over de aanschaf van ICT-oplossingen en software. Onderstaande zaken moeten worden uitgevoerd om het privacybeleid optimaal te organiseren: Rollen toewijzen op het gebied van toezicht op de bescherming van persoonsgegevens binnen de organisatie Vastgesteld privacyreglement Vastgesteld crisiscommunicatieplan Procedure voor het melden van datalekken, zowel bij Autoriteit Persoonsgegevens als bij de betrokkenen (leden van de GR, etc.) Crisisorganisatie voor datalekken (mensen die bij elkaar komen bij een groot privacy-incident) Alle doelen worden SMART (Specifiek, Meetbaar, Acceptabel, Realistisch, Tijdsgebonden) geformuleerd. De beleidscyclus dient te worden toegepast bij het invoeren/opstellen van nieuw beleid: 1. Beleidsvoorbereiding (inventarisatie): samenwerkingsmogelijkheden binnen en buiten Hefpunt verkennen en informatie verzamelen om (nieuw) beleid te kunnen vormen. 2. Beleidsformulering (visievorming, beleidsvorming en besluitvorming): stellen van prioriteiten en het formuleren van de doelstellingen voor beleid. 3. Beleidsuitvoering (uitvoering): rolverdeling tussen Hefpunt en partners, opstellen van uitvoeringsprogramma en monitoren van gekozen interventies. 4. Beleidsevaluatie (benchmarking): tussentijds bijsturen en een volgende beleidscyclus voorbereiden. Actieprogramma Hefpunt: privacy

6 1.2. Richtlijnen voor het beleid 1. Wet bescherming persoonsgegevens en andere relevante wetgeving 2. De strategische uitgangspunten en randvoorwaarden die Hefpunt hanteert ten aanzien van informatiebeveiliging, waaronder de inbedding in en afstemming op het overige beleid; 3. Het doel van het privacy- en informatiebeveiligingsbeleid; 4. De organisatie van de informatiebeveiligingsfunctie en de rol van functionaris gegevensbescherming, waaronder verantwoordelijkheden, taken en bevoegdheden; 5. De toewijzing van de verantwoordelijkheden op het gebied van informatiebeveiliging en privacy aan lijnmanagers (MT); 6. De informatiebeveiligingseisen en normen die voor Hefpunt van toepassing zijn; 7. De frequentie waarmee het privacy- en informatiebeveiligingsbeleid wordt geëvalueerd; 8. De bevordering van het privacy- en beveiligingsbewustzijn Toepassing van het privacy- en informatiebeveiligingsbeleid De informatiebeveiliging kan op niveau worden gebracht door het doorvoeren van de BIWA/ISO 27001&27002 en andere wettelijke verplichtingen die vanuit de overheid zijn opgedragen. De persoon die dat doet is de Chief Information Security Officer (CISO) in de functie van de teammanager van het Bedrijfsbureau. Door de taak het op wettelijk niveau brengen van de informatiebeveiliging bij één persoon te laten, heeft die persoon zicht op alle processen en ontwikkelingen. Op het gebied van privacy is de Functionaris Gegevensbescherming in de functie van de senior medewerker juridische zaken en beleid te onderkennen. De functionaris gegevensbescherming dient onafhankelijk te kunnen toetsen of aan de Wet bescherming persoonsgegevens wordt voldaan, zonder belemmering van zijn/haar meerdere. 2. Actieprogramma privacy Door het formuleren van actiepunten, de planning en de raakvlakken met andere beleidsvelden, moet inzichtelijk worden waar in 2016 in geïnvesteerd moet worden op het gebied van privacy Actiepunten Op basis van de vermoedelijke staat van privacybeleid/-protocollen bij Hefpunt is een actielijst ontstaan. Deze punten worden onderstaand uitgewerkt. Functionaris Gegevensbescherming aanwijzen, vaststellen via MT/DB ivm onafhankelijkheid en doorgeven aan Autoriteit Persoonsgegevens. Taken staan vermeld in handleiding FG (bijlage 1) Processen inrichten om FG te kunnen laten werken (afgeschermde schijf waarop FG coördinerende zaken kan opslaan, bewerkersovereenkomsten, incidentensysteem/procedure, bewustwordingsacties personeel etc.) + stappen bij een datalek Uitvoeren privacy impact analyse/pia = nulmeting Architectuuroverzicht privacygevoelige applicaties + Toets registratie persoonsgegevens per applicatie (externe partijen in kaart brengen) + Wijzigingsbeheer toets registratie persoonsgegevens opstellen en communiceren Verwerken uitkomsten PIA in actieplan naar MT/DB Naar aanleiding van uitkomsten toets persoonsregistratie worden bewerkersovereenkomsten afgesloten met leveranciers, voor zover niet opgenomen in inkoopvoorwaarden/sla s, etc. Controle privacy-proof applicaties Crisiscommunicatieplan + communicatie in organisatie Periodieke informatievoorziening aan personeel, bestuur en ondernemingsraad over gegevensverwerking en regels persoonsgegevens van personeel Art. 35 Wbp procedure opstellen (De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de Actieprogramma Hefpunt: privacy

7 betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt) Art. 36 Wbp procedure opstellen (Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen). Format om privacy in jaarverslag op te nemen Jaarlijkse toetsing van privacy door FG met notitie voor het (financieel) jaarverslag om voortgang door te geven/af te stemmen/vast te leggen Dataminimalisatie in applicaties, registraties en systemen 3. Rol Hunze en Aa s (Doorlopend) Adviseren van de FG bij de invulling van zijn/haar rol, zodat hij/zij zelfstandig kan werken Afstemming van overlap/acties tussen Noorderzijlvest, Insite Security en privacy bij Hefpunt (voorkomen van dubbel werk) Uitleg over hoe de handreiking kan leiden tot een privacy-proof organisatie (stap voor stap handreiking doorlopen met de FG) Coördineren privacy impact analyse en toets persoonsregistratie (uit te voeren door werknemers/fg van Hefpunt) Coördineren/meedenken in actieplan naar aanleiding van PIA en toets persoonsregistratie (uitvoering ligt bij Hefpunt) Aanleveren van basisdocumenten om acties uit te kunnen voeren Ondersteuning bij het inrichten van de functie(s) Actieprogramma Hefpunt: privacy

8 Bijlagen Bijlage 1 Handleiding FG 1. Taakomschrijving Functionaris Gegevensbescherming Toezicht houden De functionaris gegevensbescherming (FG) houdt toezicht op de verwerking van persoonsgegevens bij het Hefpunt en mag daarop gevraagd en ongevraagd adviseren. Inventarisatie van de gegevensverwerking De gegevensverwerking van persoonsgegevens in kaart brengen of laten brengen, teneinde een volledig beeld te hebben van de gegevensverwerkingen. Daarbij wordt ingezoomd op het detail, waaronder een volledig beeld van de soorten persoonsgegevens die verwerkt worden. Er kan onderscheid gemaakt worden tussen reguliere en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld geaardheid, ras of geloof. Meldingen van gegevensverwerking Om volledig toezicht te hebben op de gegevensverwerking moet iedere organisatie gegevensverwerkingen melden bij het CBP (vanaf 1 januari AP: Autoriteit Persoonsgegevens) voordat zij die gegevens daadwerkelijk gaan inwinnen. Wanneer de organisatie een FG heeft dienen die verwerkingen bij haar gemeld te worden. Er zijn 3 soorten verwerkingen die niet gemeld hoeven worden, maar die een FG wel in kaart moet hebben, te weten: openbare registers die bij wet zijn ingesteld (Kadaster en Handelsregister), wettelijk verplichte verstrekking van persoonsgegevens aan bestuursorganen en verwerkingen die onder het Vrijstellingsbesluit Wbp vallen. Vragen en klachten van mensen afhandelen Vragen en klachten met betrekking tot gegevensverwerking (verwerkingen van persoonsgegevens) worden afgehandeld door de FG. Daaronder vallen ook de procedures als genoemd in art. 35 Wbp en art. 36 Wbp, respectievelijk het recht op inzage in de verwerking van eigen gegevens en het recht tot een verzoek voor wijziging of verwijdering van gegevens uit het bestand. Interne regelingen ontwikkelen Interne regelingen die worden ontwikkeld zijn bijvoorbeeld het Privacyreglement Hefpunt 2016 en bestuursvoorstellen die raakvlakken hebben met privacy. Adviseren over technologie en beveiliging Art. 13 Wbp voorschrijft, in korte bewoording: de organisatie treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Op het gebied van beveiliging en technologie werkt de FG nauw samen met de CISO (teammanager bedrijfsbureau), welke verantwoordelijk is voor de informatiebeveiliging. De technologie en beveiliging ten behoeve van privacy wordt privacy by design genoemd. Het CBP beschrijft dat als volgt: Privacy by design houdt in dat de organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt de organisatie rekening met dataminimalisatie: de organisatie verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kan de organisatie een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen. Actieprogramma Hefpunt: privacy

9 Controlebevoegdheid De FG heeft vanuit de organisatie de bevoegdheid gekregen om te controleren op de gegevensverwerking. Daarbij is de FG onafhankelijk en objectief in zijn/haar beoordeling. De FG is daarbij verplicht tot geheimhouding van alles wat hem/haar in dat verband bekend wordt. De FG heeft de bevoegdheid elke bedrijfsruimte te betreden, inlichtingen te vorderen evenals inzage in zakelijke gegevens en bescheiden. Actueel houden calamiteitenplan De CISO is primair verantwoordelijk voor het calamiteitenplan, waar een lek persoonsgegevens/datalek onderdeel van is. De regelingen, procedures en afspraken met betrekking tot privacy worden altijd overlegd met de FG. Daarnaast moet zowel de CISO als de FG te allen tijde inzage kunnen hebben in het calamiteitenplan. Jaarlijks plant de FG een gesprek met de CISO voor het doornemen van het calamiteitenplan. Melden datalekken Wanneer een crisisteam wordt opgezet wegens een lek van persoonsgegevens, welke als eerste binnen komt bij de CISO via het meldingssysteem TopDesk of via de mail, wordt de FG toegevoegd aan het Incident Response Team (IRT). Bij een privacy-incident is de CISO voorzitter van het overleg als privacy-coördinator. De FG komt daarbij in de adviserende rol. Verslag van waarnemingen en bevindingen De FG doet jaarlijks verslag van waarnemingen en bevindingen in de organisatie aan de verantwoordelijke (DB) en de ondernemingsraad. De ondernemingsraad is voornamelijk belangrijk wanneer het gaat om bedrijfsprocessen en medewerkers van Hefpunt. Actieprogramma Hefpunt: privacy

10 Actieprogramma Hefpunt: privacy