Gemeente Amersfoort. Solide en actueel. Informatiebeveiligingsbeleid
|
|
- Brigitta van Doorn
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Gemeente Amersfoort Informatiebeveiligingsbeleid Solide en actueel IT Dienstverlening & Advies 4 oktober 2016
2 Inhoudsopgave 1. Inleiding Informatiebeveiliging... 4 Wat is informatiebeveiliging?... 4 Informatiebeveiliging versus bescherming van persoonsgegevens... 4 Van beleid naar uitvoering Ons ambitieniveau... 6 Doelstellingen Algemene beleidsuitgangspunten Leidende principes... 8 Risicobeheersing... 8 Classificatie van informatie... 8 Toepassing BIG-normenkader Continu verbeteren Organisatie van de informatiebeveiliging Verantwoordelijkheden, taken en rollen Overlegvormen Speerpunten voor deze beleidsperiode Het belang van informatiebeveiliging is duidelijk voor iedereen Informatiebeveiliging is geborgd in de organisatie Voor informatiebeveiliging is een P&C-cyclus ingericht Slot BIJLAGEN Bijlage A: Bevindingen Bijlage B: Interne organisatie, taken en rollen Bijlage C: De BIG op hoofdlijnen Bijlage D: Landelijke Wet- en regelgeving
3 1. Inleiding De samenleving digitaliseert in een hoog tempo. De informatievoorziening en de veiligheidsaspecten krijgen daarmee binnen organisaties een nog belangrijkere positie. Waar een aantal jaren geleden de informatievoorziening vooral als bedrijfsvoering werd gezien is deze inmiddels een levensader geworden. Dit zien we ook in de gemeente Amersfoort, daarbij extra gestimuleerd door impulsen van de landelijke overheid (Basisregistraties, MijnOverheid en de decentralisaties in het Sociaal Domein). Het gebruik van papier wordt steeds minder en de hoeveelheid vastgelegde digitale informatie neemt enorm toe. Steeds meer gegevens van inwoners worden digitaal vastgelegd. Als gevolg van de decentralisaties krijgen we nog meer toegang tot zeer privacy gevoelige informatie. Daarnaast vormen zich nieuwe keten- en regiepartners met de gemeente als centraal schakelpunt van waaruit informatie gedeeld moet worden. De waarde van informatie neemt hand over hand toe. In het bedrijfsleven wordt actief gehandeld in gegevens over het internetgedrag van mensen om zo gericht aanbiedingen te kunnen doen. Ook voor Amersfoort liggen er kansen, binnen wettelijke kaders, om inwoners optimaal te bedienen door het analyseren en combineren van gegevens. Door de waarde toename van informatie komen ook partijen in beeld die vanuit criminele overwegingen belang hebben. Het ongeautoriseerd toegang verschaffen tot informatiesystemen en gegevens zijn ontwikkelingen die de komende jaren verder zullen toenemen. Dit vraagt om passende maatregelen op diep technisch niveau. Inwoners mogen van de gemeente Amersfoort verwachten dat zij zorgvuldig om gaat met persoonlijke gegevens, zowel intern als in de samenwerking met derde partijen. Dit vraagt om een solide beveiliging van die gegevens, informatiesystemen en de ICT. Deze beleidsnota informatiebeveiliging bevat de uitgangspunten en doelstellingen voor de jaren Het beleid bouwt voort op, en actualiseert de in 2012 vastgestelde beleidsnota. Actualisering is o.a. nodig vanwege veranderingen in de dienstverlening, nieuwe (Europese) privacywetgeving, de aanvaarding van de Baseline Informatiebeveiliging Gemeenten (BIG) 1, het toenemend mobiel werken en voortschrijdende inzichten. Informatiebeveiliging staat al jaren op de Amersfoortse agenda. De afgelopen jaren heeft de nadruk gelegen op het doorontwikkelen van de technische beveiliging en het waarborgen van de continuïteit van dienstverlening en bedrijfsvoering. Met als resultaat dat de gemeente Amersfoort op deze onderdelen geen noemenswaardige problemen heeft gekend 2. Daarnaast lag het accent op het voldoen aan de landelijke normen voor DIGID, Basisregistratie Personen en Suwinet. 1 Zie bijlage C voor een globale beschrijving van de onderdelen van de BIG 2 Zie bijlage A voor de bevindingen over het jaar
4 Echter, in het begin van 2016 hebben incidenten in het kader van de bescherming van persoonsgegevens ons gewezen op noodzakelijke extra inspanningen. Amersfoort kan en moet alerter zijn om beveiligingsincidenten zoals datalekken te voorkomen. We moeten zorgdragen voor verdere borging van beveiligingsmaatregelen die we treffen en we moeten nog beter sturen op afspraken met aan de gemeente verbonden partijen. Door in alle geledingen van de organisatie aandacht aan informatiebeveiliging te blijven schenken, kan de gemeente de veilige verwerking van gegevens van burgers en bedrijven beter waarborgen. Deze nota is kaderstellend en wordt in het jaarlijks bij te stellen Informatiebeveiligingsplan uitgewerkt met concrete actiepunten. Met deze nota Informatiebeveiligingsbeleid zet de gemeente de volgende stap in het solide en actueel houden van de beveiliging van de informatievoorziening. 3
5 2. Informatiebeveiliging Wat is informatiebeveiliging? Deze beleidsnota beschrijft de ambities van de gemeente Amersfoort ten aanzien van informatiebeveiliging. Informatiebeveiliging omvat de processen die leiden tot een informatieveilige gemeente. Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Dit betreft bijvoorbeeld maatregelen op het gebied van uitwijk voorzieningen, regels en afspraken rond toegang tot systemen, fysieke toegangsbeveiliging, beveiligingsorganisatie, etc. Bij informatiebeveiliging staan de volgende begrippen centraal: beschikbaarheid: het zorgdragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; integriteit: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking; vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn. Het informatiebeveiligingsbeleid (IB-beleid) geldt voor het gehele proces van informatievoorziening en voor alle informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT-organisatie, maar heeft ook betrekking op het politiek bestuur, alle medewerkers en keten- en regiepartners. Het beleid raakt daarnaast ook burgers en bedrijven als zij transacties doen met de gemeente. Informatiebeveiliging versus bescherming van persoonsgegevens Er is nauwe samenhang tussen de bescherming van persoonsgegevens (vaak privacy of privacybescherming genoemd) en informatiebeveiliging. De burger heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn o.a. vastgelegd in de Wet bescherming persoonsgegevens (Wbp) 3. 3 Vanaf 25 mei 2018 moet de gemeente voldoen aan de Europese Algemene Verordening Gegevensbescherming. 4
6 Hierin staat dat de persoonsgegevens die verwerkt worden beveiligd moeten zijn tegen verlies en tegen onrechtmatige verwerking (art.13). We zijn verplicht tot het treffen van passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens. Dit beleid beschrijft die maatregelen. Het specifieke privacybeleid zal in het najaar van 2016 vorm krijgen in een separate beleidsnotitie. De functionaris gegevensbescherming (ook wel privacyfunctionaris of data protection officer) heeft onder meer als taken het toezien op naleving van privacywetgeving en adviseren over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. De rol en positie van de Functionaris Gegevensbescherming worden in het najaar van 2016 nader onderzocht en uitgewerkt. Van beleid naar uitvoering Dit beleid beschrijft de kaders, uitgangspunten en de belangrijkste speerpunten voor de komende periode. Op dit strategisch niveau worden de organisatiebelangen met de relevante uitgangspunten, zoals beschikbaarheid, integriteit, en vertrouwelijkheid vastgesteld. Tevens worden de belangrijkste taken en verantwoordelijkheden beschreven. Op tactisch en operationeel niveau vertalen we de beleidsuitgangspunten naar een beveiligingsplan en een concreet stelsel van maatregelen. Dit plan wordt ieder jaar geactualiseerd. De maatregelen worden op operationeel gebied verder gedetailleerd in handboeken, processen en procedures. 5
7 3. Ons ambitieniveau Een betrouwbare en veilige informatievoorziening is allereerst de basis voor het beschermen van gegevens en rechten van burgers en bedrijven. Hiermee toont de gemeente zich enerzijds een betrouwbare partij die ingeval van calamiteiten adequaat optreedt. Anderzijds is dit noodzakelijk voor de continuïteit van de dienstverlening aan burgers en bedrijven en van de interne bedrijfsvoering. Tegelijkertijd kan informatiebeveiliging een enabler zijn doordat afnemers weten dat bijvoorbeeld elektronische dienstverlening op verantwoorde wijze plaatsvindt, zoals het ook veilige manieren van werken en innovatieve toepassingen in en met de stad ondersteunt. Dit vereist een integrale aanpak, borging van maatregelen, risicobewustzijn en goed opdrachtgeverschap intern, maar ook richting verbonden partijen en IT leveranciers. Ieder organisatieonderdeel is hierbij betrokken. De komende jaren zet de gemeente Amersfoort in op het verder verhogen van informatiebeveiliging om de betrouwbaarheid van de dienstverlening te blijven garanderen. Naast het periodiek herijken van de reeds ingevoerde technische en organisatorische maatregelen, werken we aan een blijvende cultuurverandering over bewustwording en uitvoering van informatiebeveiliging en gegevensbescherming. Naast een professionele informatiebeveiligingsorganisatie is bewustzijn bij een ieder noodzakelijk. Doelstellingen De gemeente Amersfoort is een solide en betrouwbare partner naar haar inwoners, bedrijven, keten- en regiepartners en derden vanuit haar verantwoordelijkheid voor gegevens en informatie. Daarom is ons doel: dat de gemeente in control is als het gaat om dreigingen, incidenten, wijzigingen, processen en organisatie; dat de dienstverlening ongestoord en betrouwbaar verloopt; dat inwoners, bedrijven en instellingen weten dat hun gegevens veilig zijn bij de gemeente Amersfoort; dat onze medewerkers privacy- en beveiligingsbewust zijn en beschikken over de juiste middelen om hun verantwoordelijkheid voor informatiebeveiliging te dragen; dat gegevens van medewerkers goed zijn beschermd. In control zijn betekent in dit verband dat de gemeente weet welke passende technische en organisatorische beveiligingsmaatregelen genomen moeten worden, welke er al zijn en welke nog moeten worden ingericht. En dat er procedures zijn ingericht ingeval van beveiligingsincidenten. 6
8 4. Algemene beleidsuitgangspunten De volgende algemene beleidsuitgangspunten zijn van toepassing: Het informatiebeveiligingsbeleid van Amersfoort is in lijn met het algemene beleid 4 van de gemeente en de relevante landelijke en Europese wet- en regelgeving 5. Er zijn passende technische en organisatorische maatregelen getroffen om het risico op verlies of onrechtmatige verwerking van persoonsgegevens te minimaliseren (art.13 Wbp). De gemeente Amersfoort conformeert zich aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002). Informatiebeveiliging en gegevensbescherming zijn een integraal onderdeel van de kwaliteit van de bedrijfsprocessen. Het management ondersteunt actief het verbeteren van de informatiebeveiliging en stelt hiervoor voldoende capaciteit en middelen beschikbaar. Er is een planning en control cyclus ingericht voor de activiteiten op het gebied van informatiebeveiliging. Het IB-beleid wordt vastgesteld door het college van B&W. De Directie herijkt periodiek het Informatiebeveiligingsplan en is verantwoordelijk voor het maken van risicoafwegingen en het treffen van adequate maatregelen. Dit beleid, inclusief landelijke normen en wet en regelgeving, geldt ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie uitwisselt). De gemeente Amersfoort gaat zorgvuldig om met de privacy van medewerkers. Controle op inbreuk op de informatiebeveiliging door medewerkers (misbruik van informatie of van voorzieningen) vindt plaats binnen de kaders en mogelijkheden van de geldende wet- en regelgeving. Iedereen die toegang heeft tot het besloten gemeentelijke IT-netwerk is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Informatiebeveiliging wordt in samenhang met architectuur vanaf de start van projecten geborgd als kwaliteitscomponent. Hiertoe wordt bij de start van projecten een analyse van beveiligingsrisico s en waar nodig een privacy impact assessment opgesteld. 4 Zoals: personeelsbeleid, integriteitsbeleid, huisvestingsbeleid, informatiebeleid, archiefverordening, besluit informatiebeheer 5 Zie bijlage D voor een opsomming zoals vermeld in de tactische BIG. 7
9 5. Leidende principes Het IB-beleid van de gemeente Amersfoort is gebaseerd op vier leidende principes. Deze vormen de basis en geven de richting voor het informatiebeveiligingsplan. Binnen deze principes zijn ook kaders en uitgangspunten gedefinieerd. Risicobeheersing Het neutraliseren van alle risico s of het voorkomen van alle incidenten is onmogelijk, immers 100% veilig bestaat niet. We voldoen in eerste instantie aan het voorgeschreven basisniveau van beveiliging (conform de BIG, zie hieronder het normenkader) en privacywetgeving. Daarnaast identificeren we informatie en systemen waarvoor aanvullende maatregelen nodig zijn. Hier worden de risico s in kaart gebracht en vinden risicoafwegingen plaats. Bij het selecteren en plannen van maatregelen vindt een prioritering op basis van afgewogen risico s plaats. Door maatregelen te treffen nemen de resterende risico s af. Door echter te veel of te straffe maatregelen te treffen, wordt mogelijk onnodig geld uitgegeven of wordt het dagelijks werk (gebruiksgemak) van medewerkers te veel beperkt. Er wordt gezocht naar een optimum tussen te weinig en te veel beveiliging. Uiteraard blijven we ook bij deze keuzes voldoen aan de relevante wet en regelgeving. Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen voor processen en informatiesystemen worden beveiligingsclassificaties toegepast. Hierbij is de aard van de informatie in deze processen leidend. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn 6. Er wordt geclassificeerd op de drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid. 6 De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. 8
10 Er zijn drie beschermingsniveaus (laag, midden en hoog) en daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Laag Midden Hoog Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens) Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Beschermd het bedrijfsproces staat enkele (integriteits-) fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) 9
11 Toepassing BIG-normenkader Gemeenten hebben eind november 2013 gezamenlijk ingestemd met de Resolutie 'Informatiebeveiliging, randvoorwaarde voor de professionele gemeente (VNG) en zijn akkoord gegaan met het normenkader Baseline Informatiebeveiliging Nederlandse Gemeenten (de BIG). De BIG is ontwikkeld door de Informatie Beveiligings Dienst (IBD), een initiatief van VNG en KING. Het BIG-normenkader is opgezet rondom bestaande normen: de NEN/ISO 27002:2007 en de Baseline Informatiebeveiliging Rijksdienst (BIR). De ISO-standaard is vastgesteld voor de Nederlandse Overheid door het Forum Standaardisatie en algemeen aanvaard als de norm voor informatiebeveiliging. 7 De BIG-normen hebben betrekking op: Organisatie van de informatiebeveiliging; Beheer van bedrijfsmiddelen; Beveiligingseisen ten aanzien van personeel; Fysieke beveiliging en beveiliging van de omgeving; Beheer van communicatie- en bedieningsprocessen; Logische toegangsbeveiliging; Verwerving, ontwikkeling en onderhoud van systemen; Beheer van informatiebeveiligingsincidenten; Bedrijfscon nu teit; Naleving van het IB-beleid inclusief de relevante wet- en regelgeving. Toepassing van de BIG leidt tot het vereiste basis beveiligingsniveau. Dit niveau is toereikend voor het gemeentebreed omgaan met vertrouwelijke informatie. Het gaat dan bijvoorbeeld om persoonsvertrouwelijke informatie, commercieel vertrouwelijke informatie of gevoelige informatie in het kader van beleidsvorming. De BIG is niet voor alle informatie en systemen voldoende. Daarom wordt periodiek aan de hand van risico analyses onderzocht voor welke informatie en systemen een hoger beveiligingsniveau moet worden gehanteerd, en welke aanvullende maatregelen hiervoor moeten worden getroffen. Dit zal in ieder geval van toepassing zijn op systemen in het sociaal domein, de basisregistratie personen en de gemeentelijke website. Continu verbeteren Informatiebeveiliging wordt ingericht als een cyclus. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven en kan met behulp van een Information Security Management System (ISMS) worden beheerd. Met de inzet van een ISMS werkt de gemeente Amersfoort conform de norm NEN/ISO Voor specifieke maatregelen is in de BIG ook gebruik gemaakt van de Wet Bescherming persoonsgegevens (WBP), de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), de Gemeentelijke Basisadministratie (GBA en de opvolger BRP), de Basisregistratie Adressen en Gebouwen (BAG) en de Wet Paspoortuitvoeringsregeling (PUN). 10
12 Plan: De cyclus start met het IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het CIO/IT jaarplan en uitgewerkt in het informatiebeveiligingsplan (IB-plan) van de gemeente. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Controles zijn onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. o Controle: betreft controle buiten het primaire proces door een auditor. Dit heeft het karakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd, waarbij de CIO/ICT in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de CIO en de directie. o Self assessments: op initiatief van de CIO zal aan afdelingshoofden de opdracht worden gegeven tot het uitvoeren van een self assessment (ook wel zelf audit genoemd), waarbij risico s en maatregelen worden ge nventariseerd en beoordeeld. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Ingrijpende verbeteracties kunnen dan ook ter besluitvorming worden voorgelegd. 11
13 6. Organisatie van de informatiebeveiliging Verantwoordelijkheden, taken en rollen Iedereen die werkt binnen de gemeentelijke organisatie heeft een verantwoordelijkheid op het gebied van informatiebeveiliging. Een volledig overzicht hiervan is opgenomen in bijlage B, hier wordt volstaan met de belangrijkste rollen: College van B&W Stelt IB-beleid vast en controleert uitvoering Directie Eindverantwoordelijk voor uitvoering IB-beleid en interne controle Concern controller Bewaakt en adviseert, in rol van CISO, gevraagd en ongevraagd over informatieveiligheid Functionaris Gegevensbescherming Ziet toe op naleving van privacywetgeving en adviseert over verwerking van persoonsgegevens Afd.manager ITDA Afdelingsmanagers Eindverantwoordelijk voor informatiebeveiliging, uitvoering en bewaking Verantwoordelijk voor gebruik en veiligheid van gegevens Het College van B&W: o Stelt kaders voor informatiebeveiliging (IB) vast, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders. De Directie: o o o o Is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid; Stuurt op de risico s; Controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze voldoende bescherming bieden; Evalueert periodiek de beleidskaders en stelt deze waar nodig bij. 12
14 De Concerncontroller: o o o De advies- en bewakingsfunctie op informatiebeveiliging ligt op strategisch niveau bij de concern-controller (CISO-rol); Rapporteert, in samenspraak met afdelingsmanager ITDA, over de implementatie van het beleid en het plan aan de directie; Heeft mandaat om zelf maatregelen uit te zetten. Functionaris Gegevensbescherming 8 o Ziet toe op naleving van privacywetgeving; o Adviseert over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. De afdelingsmanager ITDA (IT Dienstverlening en Advies): o Is verantwoordelijk voor opstellen en implementeren van het beleid en het Informatiebeveiligingsplan; o Draagt zorg voor de beveiliging van de informatievoorziening en implementatie van (technische) beveiligingsmaatregelen die voortvloeien uit risicoanalyses en gegevensclassificaties; o Draagt zorg voor operationele bewaking en monitoring en voor de rapportage daarover; o Geeft (technisch) beveiligingsadvies aan de afdelingsmanagers. De afdelingsmanager: o o o o o Is verantwoordelijk voor de integrale beveiliging van de afdeling; Stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (gegevensclassificatie); Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; Stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); Rapporteert over de naleving aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De afdelingsmanager wordt hierbij geadviseerd en ondersteund door de afdeling IT Dienstverlening en Advies. 8 Kwartiermaker FG is aangesteld en leidt tot een permanente positie binnen de organisatie. 13
15 Overlegvormen Verschillende overlegvormen geven invulling aan het beleid: De Kerngroep Informatiebeveiliging (Structureel overleg) Afstemming van beleid en uitvoering vindt ambtelijk plaats in de Kerngroep Informatiebeveiliging op basis van een jaarlijks werkprogramma (aan de hand van het Informatiebeveiligingsplan) dat wordt vastgesteld door directie en de verantwoordelijke wethouder. De kerngroep wordt samengesteld met vertegenwoordigers uit verschillende afdelingen van de gemeente Amersfoort. De CISO is voorzitter en hij organiseert tenminste eenmaal per kwartaal een overleg met dit gremium. Naast de Concerncontroller zijn de vaste deelnemers: de afdelingsmanager ITDA en de (kwartiermaker) Functionaris Gegevensbescherming. De commissie datalekken (Incidenteel overleg) De tijdelijke Commissie Datalekken komt in actie als door een medewerker en/of een afdelingsmanager melding is gemaakt van een mogelijk datalek. De commissie coördineert de afhandeling van het datalek, zorgt dat de noodzakelijke acties ondernomen worden om het datalek te stoppen, ondersteunt de afdelingsmanager bij de (eventuele) melding aan de Autoriteit Persoonsgegevens en adviseert over technische en organisatorische maatregelen om herhaling te voorkomen. Themateams Voor specifieke zaken die apart aandacht vereisen kunnen themateams worden ingericht. Op dit moment is er een themateam Suwinet. 14
16 7. Speerpunten voor deze beleidsperiode De komende periode zet de gemeente in op drie speerpunten voor doorontwikkeling van de informatiebeveiliging. Deze speerpunten kunnen niet in één keer worden gerealiseerd. De fasering en het tijdspad wordt in het informatiebeveiligingsplan nader uitgewerkt en is mede afhankelijk van beschikbare middelen. Het belang van informatiebeveiliging is duidelijk voor iedereen Mensen zijn de sleutel tot informatiebeveiliging. De meeste incidenten komen niet voort uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele apparaten en aanwijzingen voor het gebruik van mail, internet en thuiswerken. Naast dat medewerkers vooraf in kennis worden gesteld van de inhoud van het beleid en de maatregelen, is het van belang dat zij op de hoogte zijn van de mogelijke consequenties van het gebruik van systemen. En ook de consequenties (disciplinaire maatregelen) van het niet gebruiken van verplichte veiligheidsmaatregelen (systemen, procedures) kennen. De komende periode richten we ons qua bewustzijn specifiek op: Cursussen op het gebied van informatiebeveiliging worden ontwikkeld of ingekocht en zijn verplicht voor medewerkers die reeds in dienst zijn en nieuw binnenkomen. Nieuw personeel, al dan niet extern ingehuurd, wordt voorafgaand aan indiensttreding geïnformeerd over hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging. Er worden bewustwordingscampagnes gehouden en er komen handreikingen gericht op bijv. mobiel werken en gebruik van . Het lijnmanagement bevordert en ziet er op toe dat medewerkers (intern en extern) zich houden aan beveiligingsrichtlijnen. In werkoverleggen en functioneringsgesprekken wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover relevant worden hierover afspraken gemaakt. 15
17 Implementeren, (en aanscherpen) van het verplicht gebruik van (bestaande) technische hulpmiddelen. Informatiebeveiliging is geborgd in de organisatie Het informatiebeveiligingsbeleid moet geen papieren beleid zijn. Het doel is om in control te zijn op het gebied van informatiebeveiliging. Daarvoor wordt tenminste voldaan aan het basisniveau van informatiebeveiliging zoals dat gedefinieerd wordt door de BIG en door privacywetgeving. Ook worden aanvullende maatregelen ingevoerd. Het informatiebeveiligingsbeleid is en blijft - in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Eind 2017 blijkt uit een onafhankelijke audit dat de gemeente voldoet aan de BIG. Eind 2016 is bepaald welke maatregelen nog niet zijn uitgewerkt en/of nog niet zijn ingevoerd. Er is geïnventariseerd welke processen een verhoogd risico kennen en waarvoor de BIGmaatregelen onvoldoende zijn. Voor deze processen zijn medio 2017 risicoanalyses uitgevoerd en aanvullende maatregelen ingevoerd. Vanaf de start van (ICT-)projecten wordt expliciet aandacht besteed aan informatiebeveiliging, privacy en gegevensbescherming. Er wordt voor ieder project een risicoanalyse uitgevoerd en indien vereist een privacy impact assessment. Er komt extra aandacht voor het gebruik van bijzondere persoonsgegevens en hierop wordt aanvullende monitoring ingericht. We zorgen dat we actueel zijn en blijven op de technische laag van informatiebeveiliging. Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligingsincidenten en datalekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. De logische toegang 9 tot de gemeentelijke informatiesystemen wordt herijkt. Het proces van identificatie, autorisatie en bijbehorende maatregelen wordt indien nodig verder aangescherpt. Regiepartners en IT-dienstenleveranciers zijn bekend met het informatiebeveiligingsbeleid van de gemeente Amersfoort en rapporteren hier periodiek over in management- of voortgangsrapportages. De gemeente kan bij hen controles uitvoeren. De gemeente Amersfoort voert zelf-audits uit waarbij risico s, gemaakte afspraken en maatregelen worden geïnventariseerd en beoordeeld. Aanbevelingen die volgen uit de zelfaudits worden zoveel mogelijk direct opgepakt. Om tot een vermindering van de auditlast te komen sluit Amersfoort aan op de ENSIA-systematiek. Amersfoort zal nog nadrukkelijker aanwezig zijn op de community van de Informatiebeveiligingsdienst (IBD). Andere gemeenten kunnen van ons leren en wij van hen. 9 Logische toegangsbeveiliging zorgt ervoor dat onbevoegden geen toegang kunnen krijgen tot gemeentelijke informatiesystemen en de informatie binnen deze gemeentelijke informatiesystemen. 16
18 Voor informatiebeveiliging is een P&C-cyclus ingericht Het informatiebeveiligingsbeleid is uitgewerkt in een jaarlijks te actualiseren informatiebeveiligingsplan. De inrichting van het Information Security Management System 10 (ISMS) wordt verder geoptimaliseerd. De Kerngroep Informatiebeveiliging is in positie en komt periodiek bijeen. Vanuit de kerngroep worden indien nodig specifieke themateams gevormd. Ten behoeve van de begroting wordt tijdig aangegeven welke middelen gewenst zijn voor informatiebeveiliging en welke risico s ontstaan wanneer de middelen niet beschikbaar worden gesteld. De CISO en afdelingsmanager ITDA rapporteren over de stand van zaken, incidenten en verbeterpunten aan de directie. Hierbij wordt ook aandacht besteed aan informatiebeveiliging bij regiepartners en aan de resultaten van landelijke audits op het gebied van (o.a.) Suwinet, DigiD en BRP. Het College en de Gemeenteraad worden jaarlijks geïnformeerd over informatiebeveiliging binnen de instrumenten van de gemeentelijke planning & control cyclus. 10 Het systeem voor het monitoren van activiteiten op het gebied van informatiebeveiliging. De PDCA-cyclus is hierin vormgegeven. 17
19 Slot Dit nieuwe informatiebeveiligingsbeleid zorgt ervoor dat we solide en actueel blijven handelen op het gebied van informatiebeveiliging. We zijn voorbereid op de dreigingen waar we mee te maken hebben en zorgen ervoor dat de burgers en bedrijven er op kunnen vertrouwen dat hun gegevens veilig zijn. Na vaststelling van dit informatiebeveiligingsbeleid zal dit worden uitgewerkt in het nieuwe Informatiebeveiligingsplan , waarbij jaarlijks een evaluatie en eventuele bijstelling plaatsvindt. 18
20 BIJLAGEN 19
21 Bijlage A: Bevindingen 2015 Grootschalige uitval (meer dan 4 uur) van de computer-systemen heeft niet plaatsgevonden. Volledig voldaan aan de normen van de DigiD-audit uitgevoerd door Deloitte, voorjaar Volledig voldaan aan de normen van de inspectie SZW voor een veilig gebruik van suwinetgegevens (najaar 2015). Onze websites, zoals Amersfoort.nl, zijn niet gehackt. De samenwerking met de IBD leverde ook dit jaar veel voordelen op. Meerdere keren zijn de contactpersonen binnen Amersfoort door de IBD geïnformeerd over kwetsbaarheden en bedreigingen. De verplichte uitwijktest voor de BRP en BAG uitgevoerd in Leusden (voorjaar 2015). Bewustwordingsacties rond informatiebeveiliging door gemeentebrede acties. Voorbeeld: hoe herken je phishing-mail. Bezoek visitatiecommissie Informatieveiligheid CITAAT VISITATIECOMMISSIE INFORMATIEVEILIGHEID Suwinet Amersfoort gaat zorgvuldig om met het gebruik van Suwinet gegevens. Dit wordt bewaakt door een werkgroep met medewerkers van de afdeling Werk, Inkomen en Zorg, en de beleidsadviseur informatiebeveiliging. De werkgroep analyseert rapportages van de controlerende instantie (BKWI), participeert in bewustwordingsacties en adviseert en rapporteert aan de afdelingsmanager WIZ. In 2015 zijn alle gemeenten door de Inspectie SZW gecontroleerd op een zorgvuldig gebruik van Suwinetgegevens. Amersfoort, en daarmee ook de gemeente Leusden, voldoet aan de 7 gestelde normen. De commissie heeft het beeld dat de gemeente Amersfoort op een krachtige en innovatieve manier werkt aan informatieveiligheid. Daarbij viel de Commissie specifiek de volgende zaken positief op: Het beeld is dat Amersfoort veel aandacht heeft voor de betrokkenheid van de organisatie bij informatieveiligheid. Dit is terug te zien in de permanente aandacht voor het onderwerp op zowel ambtelijk als bestuurlijk niveau. Amersfoort heeft informatieveiligheid stevig ingebed in de reguliere governance-structuur. Dit waarborgt de sturing vanuit de lijn op het onderwerp. Amersfoort werkt in de ogen van de Commissie op een Incidenten Naast de kleine incidenten (vergeten wachtwoorden) zijn er op aangeven van de IBD preventieve maatregelen doorgevoerd. Daarnaast zijn de volgende ingrijpende incidenten geweest: - Als gevolg van enkele ransomware virus infecties zijn bestanden onbruikbaar geworden. Door interne beveiligingsmaatregelen bleef de schade beperkt tot enkele medewerkers of afdeling/team. Bestaande herstelprocedures zorgden er voor dat er slechts enkele bestanden verloren zijn geraakt zonder verdere gevolgen. - Verkeerd gebruik suwinet-gegevens suwinet (geen doelbinding) 20
22 Bijlage B: Interne organisatie, taken en rollen Taken en rollen Toelichting De raad Controleert de uitvoering van het beleid. De raad wordt door het college geïnformeerd over informatiebeveiliging. College van B&W Eindverantwoordelijk voor informatiebeveiliging. Het vaststellen van het informatiebeveiligingsbeleid. Het informeren van de gemeenteraad. Iedere vier jaar wordt het beleid geactualiseerd; tenzij er noodzaak is dit eerder vast te stellen. Directie Adviseert B&W over vast te stellen beleid. Het vaststellen van de richtlijnen en maatregelen. Het vaststellen van het jaarplan informatiebeveiliging. Leidinggevenden (afdelingsmanager, teammanager) Verantwoordelijk voor de handhaving van de benodigde beveiliging van de gegevens waarvan zij eigenaar zijn. Het beleid actief uitdragen en toezien op naleving. Stimuleren van en toezien op het beveiligingsbewustzijn bij medewerkers. Doen aan risico- en bedrijfscontinuïteit-management in overleg met de CISO. Medewerker/ Gebruiker Iedere medewerker is verplicht gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht. Elke medewerker is voorts verplicht ieder beveiligings-incident direct te melden. Kerngroep Informatiebeveiliging De visie op informatiebeveiliging en het uitdragen daarvan. Het opstellen en uitvoeren van het informatiebeveiligingsbeleid en toezien op de naleving hiervan. Het behandelen van actuele informatiebeveiligingsonderwerpen. Kerngroep (her)start in 2016 CISO (Concern Information Security Officer) Voorzitter van de Kerngroep Informatiebeveiliging. Adviseert de directie gevraagd en ongevraagd op het gebied van informatiebeveiliging. Rapporteert over beveiligingsincidenten en -status aan directie. Is mede opdrachtgever voor het opstellen van richtlijnen, maatregelen en het jaarplan informatiebeveiliging. Bewaking en monitoring van opvolging van aanbevelingen uit audits. Deze rol is belegd bij de concerncontroller. 21
23 Afdelingsmanager ITDA / CIO Is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident- en problem management; Het opstellen van het jaarplan informatiebeveiliging, het bewaken en rapporteren over de voortgang hiervan. Het implementeren van (technische) beveiligingsmaatregelen Is opdrachtnemer van het opstellen van richtlijnen, maatregelen en het jaarplan informatiebeveiliging. Adviseur Informatievoorziening (Security Officer) Adviseren en ondersteunen van de CISO/CIO. Ondersteunen van het lijnmanagement. Het opstellen van richtlijnen en maatregelen. Het toezien op naleving van het beleid. Toezien op de implementatie van de BIG-normen. TISO (Technical Information Security Officer) Het adviseren van de CISO/afdelingsmanager ITDA op de technische aspecten van de informatiebeveiliging. Dagelijks beheer van technische IB-aspecten. Een bijdrage leveren aan het jaarplan IB. Deze verantwoordelijkheid is belegd bij de teammanager R&B van ITDA. Functionaris Gegevensbescherming (ook wel Data Protection Officer genoemd) Toezien op naleving van privacywetgeving. Adviseren over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. Rol en positie van Functionaris Gegevensbescherming wordt in het najaar van 2016 nader onderzocht. Commissie Datalek Themateams Themateam Continuïteit Het afhandelen van datalekken binnen het proces Beheer informatiebeveiligingsincidenten. Themateams vullen de informatiebeveiliging in bij het betreffende thema. Deze werken onder voorzitterschap van de SO. Bij een (grote) calamiteit c.q. ernstige verstoring qua beschikbaarheid van informatiesystemen wordt een kernteam Continuïteit geactiveerd. De werkwijze is vastgelegd in een Continuïteitsplan, dat jaarlijks wordt geactualiseerd. Een goed voorbeeld van een huidig themateam is het team Suwinet. Daarnaast evt. aparte teams voor BRP, BAG, ITaudit, ENSIA (Enkelvoudige Normatiek Single Information Audit), e.d. Bestaat uit de CISO, afdelingsmanager ITDA, relevante experts en afdeling Communicatie Interne controleurs Interne controleurs voeren in opdracht van de CISO audits uit op de informatiebeveiliging. Voor SZ en BZ de controle op de actualiteit van accounts en juistheid van autorisaties. Eén functionaris binnen Burgerzaken is betrokken bij informatiebeveiliging (zelf-audit GBA). Eén functionaris bij Belastingen (voor de audit reisdocumenten). 22
24 Personeelszaken Facilitaire zaken Arbeidsvoorwaardelijke zaken en integriteit Fysieke toegangsbeveiliging Leveranciers, bewerkers en ketenpartners Voldoen aan het informatiebeveiligingsbeleid van de gemeente Amersfoort (Compliance). Zij zijn onder omstandigheden ook verantwoordelijke in de zin van de Wbp. Met hen moeten specifieke afspraken over de melding van datalekken worden gemaakt. 23
25 Bijlage C: De BIG op hoofdlijnen BIG Strategische Baseline De Strategisch Baseline kan gezien worden als de kapstok waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. De Strategische Baseline is een separaat document. BIG Tactische Baseline De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de controls/maatregelen die als Tactische Baseline gelden voor de gemeenten. De Tactische Baseline omvat onderhavig document. BIG Operationele baseline Om de invoering van de Strategische en Tactische Baseline te ondersteunen, zijn door de Informatie Beveiligingsdienst Gemeenten producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd, vertegenwoordigers van deze gemeenten hebben de producten gereviewd. De gemeente Amersfoort baseert haar Informatiebeveiligingsbeleid alsmede het Informatiebeveiligingsplan op basis van deze drie BIG-niveau s. Er wordt zoveel als mogelijk gebruik gemaakt van de producten die door de IBD worden aangereikt. 24
26 Bijlage D: Landelijke Wet- en regelgeving - Wet Bescherming Persoonsregistratie en Vrijstellingsbesluit Wet bescherming persoonsregistratie (incl. meldplicht datalekken) - Wet Openbaarheid van Bestuur - Wet Computercriminaliteit II - Comptabiliteitswet - Archiefwet - Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) - Wet Veiligheidsonderzoeken (WVO) - Wet Politiegegevens (WPG) - Ambtenarenwet - Voorschrift Informatiebeveiliging Rijksdienst (VIR:2007) - Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI:2013) - Beveiligingsvoorschrift Rijksdienst 2013 (BVR 2013) - CAR-UWO - PUN - Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT2014) - Kader Rijkstoegangsbeleid - Uitgangspunten online communicatie rijksambtenaren - Programma van Eisen PKI Overheid - Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) - Telecommunication Infrastructure Standard for Data Centers (TIA-942) - Wet SUWI - Wet op de identificatieplicht - Wet Elektronisch Bestuurlijk Verkeer (WEBV) - Wet GBA en wet BRP - Wet Werk en Bijstand - Registratiewet - Algemene wet bestuursrecht - Richtlijnen van het Nationaal Cyber Security Centrum (NCSC) 25
Informatiebeveiligingsbeleid 2015-2018
Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieECIB/U Lbr. 17/010
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari
Nadere informatieOpenheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht
Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieInformatieveiligheidsbeleid
Informatieveiligheidsbeleid Strategie organiseren informatiebeveiliging en bescherming privacy Versie : 1.0 Datum : 9 augustus 2017 Poststuknummer : 17.014110 1 Versie Informatie Versie Auteur Datum Omschrijving
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieBrief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)
Brief aan de leden T.a.v. het college en de raad Datum 21 maart 2017 Ons kenmerk ECIB/U201700182 Lbr. 17/017 Telefoon (070) 373 8338 Bijlage(n) 1 Onderwerp nieuw verantwoordingsproces informatieveiligheid
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieVerklaring van Toepasselijkheid en Informatiebeveiligingsbeleid
Openbaar Onderwerp Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid Programma Bestuur en Middelen BW-nummer Portefeuillehouder H. Tiemens, B. van Hees, H. Bruls Samenvatting De gemeente
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieGGM zkt prtnr (M/V) Status gegevensmanagement bij de Nederlandse gemeenten. 7 November 2016 Wim Stolk Expertgroep Gegevensmanagement Gemeenten
GGM zkt prtnr (M/V) Status gegevensmanagement bij de Nederlandse gemeenten 7 November 2016 Wim Stolk Expertgroep Gegevensmanagement Gemeenten Informatiesamenleving en Gegevensmanagement #informatieprofessional
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS
ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS Datum 29 juni 2017 Versie 1 Status: Definitief Inhoud 1 Inleiding 3 2 Taken en verantwoordelijkheden van gemeentelijke stakeholders 4 2.1 College
Nadere informatieInformatiebeveiligingsbeleid van de Gemeenschappelijke Regeling Samenwerking de Bevelanden
Informatiebeveiligingsbeleid van de Gemeenschappelijke Regeling Samenwerking de Bevelanden Gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Versiebeheer Het versiebeheer van dit
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieRapportage informatieveiligheid en privacy gemeente Delfzijl
Rapportage informatieveiligheid en privacy gemeente Delfzijl 2017-2018 Achtergrond Als gemeente leggen wij vanaf 2017 verantwoording af aan de gemeenteraad over informatieveiligheid. Dit is in 2013 vastgelegd
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieJaarverslag Informatiebeveiliging en Privacy
Jaarverslag Informatiebeveiliging en Privacy Jaarverslag informatieveiligheid en privacy Inleiding De gemeente Nederweert onderstreept het belang van informatieveiligheid en privacy. De grote hoeveelheid
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieDit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.
Collegevoorstel Aanleiding / voorgeschiedenis Op 7 november 2017 bent u geïnformeerd over de Baseline informatiebeveiliging Nederlandse gemeenten (BIG), de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieStrategisch beleid Informatieveiligheid & Privacy
ONS Shared service centrum Afdeling ICT Postbus 10007 8000 GA Zwolle Luttenbergstraat 2 Strategisch beleid Informatieveiligheid & Privacy Versie: 1.0 12 februari 2018 12 februari 2018 Versie 1 1. Informatieveiligheid
Nadere informatieQuick scan Informatiebeveiliging gemeente Zoetermeer
Bes t uur l i j kenot a I nf or mat i ebev ei l i gi ng Dec ember2017 Quick scan Informatiebeveiliging gemeente Zoetermeer Conclusies en aanbevelingen Gemeenten beheren veel persoonlijke en gevoelige data
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatiePrivacybeleid Gemeente Amersfoort Classificatie: Openbaar
Privacybeleid Gemeente Amersfoort 2017-2019 Classificatie: Openbaar januari 2017 Versie 1.0 1 1. Inleiding 1.1 Privacy: persoonlijke levenssfeer. De gemeente Amersfoort verwerkt persoonsgegevens van onze
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieTimeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.
Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy. PNIK Jaarlijkse rapportage aan de burgemeester Privacy 28 januari Internationale
Nadere informatie2015; definitief Verslag van bevindingen
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieVoorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond
Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data en potentieel dus tot nieuwe of rijkere informatie. Digitalisering speelt ook een grote rol binnen het onderwijs,
Nadere informatierliiiiihihhiiiivi.ilhn
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Terneuzen Postbus 35 4530 AA TERNEUZEN rliiiiihihhiiiivi.ilhn Postbus 90801
Nadere informatieIn deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.
Raadsinformatiebrief Aan: Leden van de raad Van: College van burgemeester en wethouders Datum: 22 mei 2018 Onderwerp: Stand van zaken informatiebeveiliging en privacy Doel: Ter kennisname/ ter informatie
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatieAlgemeen privacybeleid gemeente Asten 2018
1 Algemeen privacybeleid gemeente Asten 2018 ALGEMEEN PRIVACYBELEID (AVG) GEMEENTE ASTEN Inhoud 1. Inleiding 3 2. Uitgangspunten 3 3. Rollen en bevoegdheden 4 Bestuur 4 - College van B&W 4 - Gemeenteraad
Nadere informatie2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042
Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieGegevensbeschermingsbeleid gemeente Beekdaelen
1 Gegevensbeschermingsbeleid gemeente Beekdaelen Inhoud Hoofdstuk 1: Inleiding... 3 1.1 Het belang van gegevensbescherming... 3 1.2 Relevante wetten en verdragen... 3 1.3 Ambitie op het gebied van gegevensbescherming...
Nadere informatieInformatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR
Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieInformatiebeveiligingsbeleid SBG
Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad
Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad Gemeente Hardinxveld-Giessendam Bas Verheijen (CISO) 12 oktober 2017 Introductie Bas Verheijen, CISO (Chief Information
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieInformatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatieRaadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding
Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieInformatiebeveiligings- en privacybeleid
Informatiebeveiligings- en privacybeleid Informatieverwerking binnen en namens Kennisnet Versie 1.4-20 maart 2018 Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data
Nadere informatieDatalekken (en privacy!)
Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer
Nadere informatieInspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga
INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieRI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:
RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken
Nadere informatieDe bescherming van persoonsgegevens speelt een steeds belangrijkere rol door de:
CVDR Officiële uitgave van Eijsden-Margraten. Nr. CVDR610195_2 25 mei 2018 Beleidsregel van het college van burgemeester en wethouders van de gemeente Eijsden-Margraten houdende regels omtrent privacy
Nadere informatieInformatiebeveiligings- en privacy beleid (IBP)
Informatiebeveiligings- en privacy beleid (IBP) Versie: 25 mei 2018 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieVer V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics
In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics Wat betekent ENSIA voor uw College Wat betekent ENSIA voor uw Raad Gemeentelijk organiseren ENSIA: Wat vooraf ging Waarom
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit
Nadere informatieVersie: definitief
Versie: definitief 05-09-17 1.0 Voorwoord Dit beleidskader en bijbehorend uitvoeringsplan informatieveiligheid is een uitwerking van de DOWR i-visie 2018-2022. De dienstverlening van de DOWR gemeenten
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieBeleid Informatiebeveiliging
Beleid Informatiebeveiliging Inhoudsopgave 1 Managementsamenvatting 3 1.1 Samenvatting 3 1.2 Leeswijzer 5 2 Beveiligingsbeleid 6 2.1 Doel van het beleid 6 Doelstellingen 7 Reikwijdte 7 Uitgangspunten 7
Nadere informatieAgenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017
Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid
Nadere informatieDocumentnummer: : Eindnotitie implementatie privacy
Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen 2016 1 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie.5 4.1 Training voor het sociaal
Nadere informatieDoel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.
FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel
Nadere informatieInformatiebeveiligingsbeleid Opsteller: Roza van Cappellen
Informatiebeveiligingsbeleid 2016 Opsteller: Roza van Cappellen Inhoud 1 Uitgangspunten informatiebeveiligingsbeleid van de gemeente Teylingen... 2 2 Organisatie van de informatiebeveiliging... 5 2.1 Interne
Nadere informatieDatum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W
OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL
Nadere informatieDatalek dichten en voorkomen. 21 april 2017
Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.
Nadere informatiePrivacy & online. 9iC9I
Privacy & online https://www.youtube.com/watch?v=f7pyhn 9iC9I AVG en de gemeente Wat komt er op ons af? Daniël Bloemers 23 november 2017 Informatieveiligheid en de gemeente Privacy en het werk Waarom ibewust:
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieStrategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein
Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...
Nadere informatieHet verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1
ARANEA ISM, niet toegestaan. 1 Partners van SEP Even voorstellen Daniel Bloemers ARANEA ISM, niet toegestaan. 2 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over
Nadere informatiePrivacyverordening gemeente Utrecht. Utrecht.nl
Privacyverordening gemeente Utrecht Naar een nieuwe Privacyverordening Gemeentelijke Privacyverordening 2003 verouderd. Nieuw: Gemeentelijke privacyfunctionaris sinds 2015 Functionaris Gegevensbescherming
Nadere informatier'h'hil-lli'h'i'-i'l-ll-ll-ll
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Albrandswaard Postbus 1000 3160 GA RHOON r'h'hil-lli'h'i'-i'l-ll-ll-ll reg.
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieInformatiebeveiliging voor overheidsorganisaties
Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties
Nadere informatie