Plan van aanpak. Implementatie Informatieveiligheid & Privacy sociaal domein

Transcriptie

1 Plan van aanpak Implementatie Informatieveiligheid & Privacy sociaal domein Gemeente Eindhoven, juli 2016

2 Inhoudsopgave 1 Implementatie op hoofdlijnen Context Gemeente breed & domein specifiek Aanleiding Projectopdracht Projectomgeving Doelstelling van het project Activiteiten en producten Governance en organisatie Beleid Werkprocessen Bewustwording medewerkers en positie van de burger Beheer en opslag van gegevens Overige producten en activiteiten Activiteitenplanning Juli

3 1 Implementatie op hoofdlijnen De rekenkamercommissie van de gemeenteraad bracht in april 2016 het rapport Informatieveiligheid en privacy in het sociaal domein: Een open deur? uit. Op 31 mei 2016 heeft de gemeenteraad naar aanleiding van dit rapport het volgende besloten: 1. Het college de opdracht te geven om uiterlijk medio juli 2016 met een plan van aanpak te komen waarin wordt aangegeven hoe de aanbevelingen voor het college en de Stichting WIJeindhoven worden geïmplementeerd; 2. Het college de opdracht te geven halfjaarlijks in de P&C cyclus te rapporteren over de implementatie van het plan van aanpak en over informatieveiligheid en privacyaspecten; 3. Het college opdracht te geven om meetbare SMART geformuleerde doelstellingen op te nemen in het plan van aanpak en aantoonbaar maken dat de PDCA cyclus wordt gevolgd bij de uitvoering van privacy en informatieveiligheidsbeleid (amendement 1). Het Plan van aanpak als bedoeld in beslispunt 1 bieden wij u bij deze aan. Dit betekent dat dit plan van aanpak antwoord geeft op de aanbevelingen uit het rekenkamer onderzoek op hoofdlijnen. Aanbevelingen van de rekenkamercommissie aan het college 1. Sluit de cyclus: stel voortgangsrapportages op vanuit het CIO-office met betrekking tot informatieveiligheid en privacy en bespreek deze periodiek in de directieraad en in college. Rapporteer hierover aan de raad. Het college heeft van de raad op 31 mei 2015 de opdracht gekregen halfjaarlijks in de P&C cyclus te rapporteren over de implementatie van het plan van aanpak en over informatieveiligheid en privacyaspecten. Implementatie aanbeveling: Het CIO-office zal in samenwerking met de per 1 juni ingevolge artikel 62 van de Wet bescherming persoonsgegevens aangestelde Functionaris gegevensbescherming de rapportages voorbereiden. In het kader van de P&C cyclus rapporteert de CISO op het onderwerp informatieveiligheid & privacy. Dit zal via de paragraaf bedrijfsvoering in de tussenrapportage en het najaarsbericht gebeuren. In 2016 zal, zoals toegezegd, in september een eerste rapportage plaatsvinden en vervolgens bij het najaarsbericht van Zorg voor een actieve sturing op de uitvoering van de aanbevelingen van de recente PIA in de gemeente Eindhoven. Herijk de visie op informatieveiligheid en de GAP analyse sociaal domein en stel een samenhangend plan op om de in te vullen maatregelen daadwerkelijk te implementeren. Implementatie aanbeveling: Met de stichting WIJeindhoven worden afspraken gemaakt over de inrichting van de informatiebeveiliging, de eisen vanuit de privacywetgeving waaraan voldaan moet worden en de wijze waarop verantwoording wordt afgelegd. Om tot de uitwerking van de kaders te komen, worden eerst verantwoordelijkheden en rollen binnen de organisatie(s)belegd met betrekking tot informatiebeveiliging en privacy. Er is reguliere afstemming ingeregeld tussen de Functionaris Gegevensbescherming (FG), de Chief Information Security Officer(CISO) en de Information Security Officer (ISO) sociaal domein. De gemeente (het sociaal domein) maakt in de contracten met Stichting WIJeindhoven afspraken over gegevensverwerking, het borgen van de privacy en het naleven van de richtlijnen voor informatieveiligheid. We borgen met dit contract dat stichting WIJeindhoven tenminste net zo zorgvuldig zal omgaan met informatieveiligheid & privacy als dat de gemeente verplicht is te doen. Juli

4 3. Anticipeer op de nieuwe Europese privacy verordening. Hanteer het principe van Privacy by Design voor sturing en monitoring. Implementatie aanbeveling: Op 26 april 2016 heeft het college het Beleidskader Privacy & Functionaris Gegevensbescherming gemeente Eindhoven 2016 vastgesteld. In dit beleidskader wordt privacy by design zoals dit in de nieuwe Europese privacy verordening (AVG) het geval zal zijn, als uitgangspunt gekozen. 4. Werk een gemeentelijk privacy beleid uit. Dit privacy beleid geeft medewerkers en bewoners een handelingskader. Zorg ervoor dat de raad periodiek over de invulling van dit privacy beleid wordt geïnformeerd. Geef in de uitwerking van het beleid aandacht aan de wijze waarop dit beleid in de gemeente wordt geïntroduceerd en welke maatregelen worden getroffen om de aandacht voor dit beleid levend te houden. Implementatie aanbeveling: De komende 2 jaar, in de aanloop naar het definitief van kracht worden van de AVG op 25 mei 2018, zal de FG in samenwerking met het CIO Office het privacy beleidskader uitwerken en omzetten in instrumenten en best practices, waarbij wordt voorgesorteerd op de AVG zodat we gemeente breed goed op orde zijn op 25 mei Sturing en monitoring zal vanuit privacy invalshoek vanuit de wettelijke toezichtstaak van de FG plaats gaan vinden en op maat (by design) worden ingezet. In zijn voorlichtende taak zal de FG focus hebben op het levend houden van de aandacht voor het privacy beleid en welke maatregelen daarvoor nodig zijn. 5. Herijk samen met stichting WIJeindhoven de werkprocessen in het WijPortaal op basis van de constateringen in de PIA. Maak afspraken hoe stichting WIJeindhoven over de voortgang aan de gemeente rapporteert. Bewaak dat bij een aanbesteding voor de vernieuwing van het WijPortaal deze herijkte processen en een minimaal op teamniveau ingericht autorisatiemechanisme het uitgangspunt vormen. Implementatie aanbeveling: In het kader van de aanbesteding van het WijPortaal is het nieuwe autorisatiemodel vastgelegd in het programma van eisen (PvE). Het nieuwe autorisatiemodel biedt meer en flexibele mogelijkheden op gebied van gebruikersrechten en de logging ervan. 6. Breng op korte termijn met Stichting WIJeindhoven de autorisaties in het WijPortaal terug naar teamniveau. Richt een procedure in die het mogelijk maakt om op gecontroleerde wijze tijdelijk gegeven autorisaties ruimer te verlenen. Zie erop toe dat de functioneel beheer deze autorisaties daadwerkelijk implementeert. Antwoord: Stichting WIJeindhoven heeft voorbereidingen getroffen om de autorisaties in het WijPortaal aan te passen en is in gesprek met de leverancier van het huidige systeem om te bezien hoe dit gerealiseerd kan worden. Stichting WIJeindhoven zal in de reguliere verantwoordingscyclus rapporteren over de voortgang. Stichting WIJeindhoven Met de oprichting van stichting WIJeindhoven in 2015 is de eerste lijn op afstand van de gemeente geplaatst. Het doel van stichting WIJeindhoven is het fungeren als uitvoeringsorganisatie van de eerste lijns wettelijke taken die zijn opgelegd aan de gemeente Eindhoven. Deze wettelijke taken zijn alle ambulante ondersteuning op gebied van voorzieningen, inkomen, participatie, Jeugdwet en Wmo, die niet specialistisch is. Rapportages Conform de nadere bepalingen in de uitvoeringsovereenkomst is de stichting WIJeindhoven verplicht een kwartaal rapportage in te dienen bij gemeente Eindhoven. Voor 2016 geldt dat de vormgeving van de kwartaalrapportages een groeiproces is. Bij de jaarrekening of de financiële verantwoordeng overlegt de stichting WIJeindhoven een controle verklaring volgens het artikel 4:78 van de Awb. Hierin verklaart de accountant of is voldaan aan de subsidievoorwaarden uit de Algemene wet bestuursrecht, de Algemene subsidieverordening gemeente Eindhoven en de subsidieverlening. Juli

5 Aanbeveling van de rekenkamercommissie aan stichting WIJeindhoven 1. Tref op korte termijn maatregelen met betrekking tot de te ruime autorisatie in het WijPortaal. Het is verleidelijk om daarmee te wachten op de vervanging van het WijPortaal, maar daarmee verandert deze ruime autorisatie niet op de korte termijn. Werk minimaal toe naar een autorisatie op teamniveau en bezie in hoeverre de breaking glass procedure zoals die wordt beschreven in de PIA daadwerkelijk geïmplementeerd kan worden. Rapporteer hierover in de managementrapportage van de stichting naar de gemeente. Implementatie aanbeveling: Stichting WIJeindhoven heeft voorbereidingen getroffen om de autorisaties in het WijPortaal aan te passen en is in gesprek met de leverancier van het huidige systeem om te bezien hoe dit gerealiseerd kan worden. Stichting WIJeindhoven zal in de reguliere verantwoordingscyclus rapporteren over de voortgang. 2. Herijk in nauwe samenwerking met de gemeente de beschreven werkprocessen in het sociaal domein en draag er zorg voor dat in een eventuele aanbesteding van het WijPortaal deze herijkte werkprocessen het uitgangspunt zijn. Houd daarbij rekening met de eisen die gesteld moeten worden aan autorisatie én de koppelingen van het WijPortaal met de achterliggende systemen. Implementatie aanbeveling: Aan de hand van de resultaten van de Privacy Impact Assessment houdt stichting WIJeindhoven zijn werkprocessen tegen het licht en voert waar nodig verbeteringen door. Daar waar samenloop bestaat met gemeentelijke werkprocessen zal afstemming plaatsvinden. 3. Borg een continue aandacht voor privacy binnen de stichting WIJeindhoven. Draag er zorg voor dat aan alle medewerkers (bij indiensttreding) het privacy statement wordt uitgereikt. Zie erop toe dat het onderwerp privacy regelmatig onderwerp is binnen het frequente caseoverleg en rapporteer daarover aan de gemeente. Implementatie aanbeveling: Stichting WIJeindhoven houdt aan de hand van de resultaten van de Privacy Impact Assessment haar privacy beleid tegen het licht. Hierbij wordt ook de borging in o.a. leertrajecten voor werknemers meegenomen. Stichting WIJeindhoven zal in de reguliere verantwoordingscyclus rapporteren over de voortgang. Juli

6 2 Context De afgelopen 10 jaar is er op ICT gebied veel veranderd. Twee belangrijke ontwikkelingen hebben hier in bijgedragen. Centralisatie van dataopslag en applicaties hebben het mogelijk dat ICT gebruikers device onafhankelijk kunnen werken. Dit betekent dat ICT gebruikers via een PC, laptop, tablet of smartphone applicaties kunnen gebruiken en data centraal opslaan. Het project ewerkplek heeft er in Eindhoven voor gezorgd dat 2000 medewerkers met een mobiele werkplek zijn uitgerust. Deze positieve ontwikkeling maakt het mogelijk om overal en altijd informatie te kunnen raadplegen en verwerken. Deze ontwikkeling heeft er ook voor gezorgd dat privacy en informatieveiligheid nog belangrijker zijn geworden en onlosmakelijk met elkaar zijn verbonden. De ewerkplek vraagt gebruikers om een ander ICT bewustzijn. Gemeentelijke informatie is nu niet alleen bereikbaar via de voordeur van het Inwonersplein en de website, maar ook via 2000 mobiele werkplekken. Met dit gegeven moet er een nieuwe balans worden gevonden tussen het dicht timmeren van het gemeentelijke ICT netwerk en de ICT ondersteuning die het voor de verschillende werkvelden mogelijk maakt om een optimale dienstverlening aan de stad te bieden. 2.1 Gemeente breed & domein specifiek Gemeente Eindhoven is net als de andere Nederlandse gemeenten belast met implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG) en de voorbereiding van de Algemene Verordening Gegevensbescherming (AVG 2018). De BIG heeft een aantal aspecten die gemeente breed worden geïmplementeerd. Daarnaast zijn er een aantal onderdelen die specifiek binnen een domein worden geïmplementeerd. Er zijn een aantal rollen belegd die zich met de implementatie van de BIG en AVG 2018 bezig houden. Gemeente breed zijn de rollen van CISO en FG belegd. Per domein zijn de rollen van security officer en ISO belegd. Thema s die gemeente breed geïmplementeerd worden zijn onder meer, dataclassificatie, wet datalekken, bewustzijn. 2.2 Aanleiding Uiteraard hebben we als gemeente altijd de verantwoordelijkheid voor het goed en zorgvuldig omgaan met persoonsgegevens van burgers. Vanaf 1 januari 2015 verwerkt de gemeente, in het kader van de decentralisaties in het sociaal domein, veel meer gegevens en werkt zij meer samen met (keten)partners. In dat kader is het van belang dat: taken en bevoegdheden binnen de organisatie duidelijk zijn belegd de verantwoordingscyclus wordt vastgelegd en gevolgd privacy beleid wordt (her)geformuleerd; aandacht voor privacy wordt geborgd in de werkprocessen; er goede afspraken worden gemaakt met (keten)partners; privacy bewustwording bij medewerkers wordt gecreëerd; een goede communicatie wordt opgezet met de interne en externe organisatie(s) en naar de burger; persoonsgegevens zorgvuldig worden beheerd en opgeslagen conform de daaraan te stellen eisen; de informatieveiligheid. Deze aandachtsgebieden vormen samen het privacy raamwerk. Privacy raamwerk Het privacy raamwerk stuurt en controleert alle processen in de organisatie waarbij persoonsgegevens worden verwerkt. Het implementeren van het privacy raamwerk leent zich voor een projectmatige aanpak. Het op verantwoorde wijze verwerken van persoonsgegevens gaat verder dan naleving van wet- en regelgeving alleen; om op zorgvuldige wijze met persoonsgegevens om te gaan moet ook worden nagegaan hoe het belang van privacy binnen de eigen organisatie wordt ingevuld en hoe over privacy naar de buitenwereld wordt gecommuniceerd. Het implementeren van het privacy raamwerk leidt tot een duidelijk en controleerbaar proces van gegevensverwerking binnen de organisatie en haar ketenpartners. Voor de medewerkers wordt zekerheid geschapen over de manier waarop invulling moet worden gegeven aan het privacybelang van de betrokkene(n). Hierdoor worden fouten die kunnen leiden tot onrechtmatige verwerking beperkt of voorkomen en loopt de organisatie minder risico op reputatieschade en het opgelegd krijgen van boetes door de toezichthouder. Het privacy raamwerk helpt ook bij de transparantie van de organisatie; de gegevensverwerking wordt zodanig ingericht dat te allen tijde inzichtelijk kan worden gemaakt hoe de gegevensverwerking is gegaan, welke keuzes daarbij zijn gemaakt en waarom. Hiermee kan optimaal verantwoording worden afgelegd over de verwerking van persoonsgegevens aan betrokkenen, media, de toezichthouder en de bestuurlijk en politiek verantwoordelijke. Juli

7 Basis plan van aanpak Om integer en zorgvuldig om te gaan met privacy en persoonsgegevens, moet de organisatie hierop worden ingericht. Het privacy raamwerk van de VNG ondersteunt de gemeente bij het inrichten van haar privacy beleidskader. Het privacy raamwerk richt zich op vijf aandachtsgebieden, die afhankelijk van elkaar zijn en daarmee een samenhangend geheel vormen. Het privacy raamwerk Dit Plan van Aanpak heeft betrekking op het implementeren en borgen van privacy conform het privacy raamwerk binnen het sociaal domein en de verbinding met informatiebeveiliging; het uitvoering geven aan de BIG compliance gemeente breed. Tevens zijn opgenomen in dit plan, binnen het raamwerk, de volgende bevindingen en/of richtlijnen: de bevindingen/aandachtspunten van de resultaten van de Privacy Impact Assessment (PIA), uitgevoerd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Min BZK) de aanbevelingen uit het onderzoek Een open deur? van de Rekenkamercommissie Eindhoven de aanbevelingen uit de Quick Scan WIJ-portaal Bevindingen en beheersing van Concern Control en Advies de toezeggingen uit de reactiebrief van het college op de rapportage van de rekenkamercommissie onderdelen GAP analyse op basis van BIG, 2014 richtlijnen Beleidskader Privacy & Functionaris Gegevensbescherming Gemeente Eindhoven 2016 Juli

8 3 Projectopdracht Voortvloeiend uit de doelstelling van het project luidt de projectopdracht als volgt: zorg er voor dat alle noodzakelijke acties worden geïmplementeerd, zodat het sociaal domein voldoet aan de aanbevelingen van het rekenkameronderzoek. Daarnaast wordt met de geïmplementeerde aanbevelingen uit het rekenkamer onderzoek voldaan aan de Baseline Informatiebeveiliging (BIG). 3.1 Projectomgeving Het beschouwingsgebied van het project omvat het sociaal domein van de gemeente Eindhoven. Dit omvat de sectoren Support en Operations. Ook zal de link naar de stichting WIJeindhoven worden meegenomen. Het doorvoeren van wijzigingen binnen de stichting WIJeindhoven wordt afgestemd met gemeente Eindhoven. Afstemming van verantwoordelijkheden en het vastleggen van afspraken wordt gedaan in de (bewerkers)overeenkomsten. Alle werkprocessen binnen het sociaal domein worden meegenomen in dit project, in afstemming met de proceseigenaren. Om privacy en informatiebeveiliging optimaal te kunnen implementeren, beleggen en borgen binnen het sociaal domein, de gemeente en de stichting WIJeindhoven, is het van belang dat rollen, verantwoordelijkheden en taken helder en duidelijk worden beschreven. 3.2 Doelstelling van het project Het primaire doel van het project is, invulling geven aan de aanbevelingen uit het rekenkameronderzoek. Daarnaast is het afsluiten of herijken van bewerkersovereenkomsten met alle (keten) partners een resultaat van dit project. Waarbij ook wordt vastgelegd wat de (keten)partners mogen verwachten van het gemeentelijk sociaal domein. 4 Activiteiten en producten De VNG heeft een privacy scan ontwikkeld om gemeenten te ondersteunen bij het formuleren van privacy- en beveiligingsacties voor het sociaal domein. Als uitgangspunt is daarbij het privacy raamwerk genomen. Dit betreft vijf onderdelen: Governance, Beleid, Bewustwording en communicatie, Werkprocessen en triage en Beheer en opslag van gegevens. Uit de praktijk blijkt dat op al deze terreinen zaken moeten worden ingericht om de privacy en informatieveiligheid goed te borgen. De hieronder genoemde activiteiten en producten worden opgehangen aan het privacy raamwerk en zijn een resultaat van de bevindingen uit de onderzoeken zoals benoemd in de aanleiding (blz. 4): het Privacy Impact Assessment, het Rekenkameronderzoek aangevuld met de bijlage van Berenschot en de interne Quick scan van Concern control. Daarnaast worden bevindingen van een eerdere GAP analyse (2014) meegenomen t.a.v. de BIG normen. Binnen dit plan van aanpak zijn specifiek die activiteiten opgenomen die betrekking hebben op de inrichting van het sociaal domein. 4.1 Governance en organisatie Het inrichten van de (interne en externe) organisatie t.a.v. privacy: inrichten van rollen, beleggen van verantwoordelijkheden, invoeren van controlemechanismen en het afleggen van verantwoording Afsprakenkader Stichting WIJeindhoven: sturing gemeente Met de stichting WIJeindhoven worden afspraken gemaakt over de inrichting van de informatiebeveiliging, de eisen vanuit de privacywetgeving waaraan voldaan dient te worden en de wijze waarop verantwoording wordt afgelegd. Om tot de uitwerking van de kaders te komen, dienen eerst verantwoordelijkheden en rollen binnen de organisatie(s) duidelijk te zijn met betrekking tot informatiebeveiliging en privacy. In de eerste helft van 2016 zijn een aantal nieuwe rollen ingevuld binnen de gemeente en het sociaal domein (de Functionaris Gegevensbescherming, de Chief Information Security Officer en de Information Security Officer sociaal domein) en vindt afstemming plaats met de stichting WIJeindhoven. De rollen en verantwoordelijkheden zijn grotendeels vastgesteld (een aanzet daarvan is gemaakt in het Beleidskader Privacy & Functionaris Gegevensbescherming) en worden vastgelegd in een gemeente breed plan van aanpak. Op detailniveau kan mogelijk nog nadere afstemming plaats dienen te vinden; dat zal uitwerking vinden in de projectgroep informatiebeveiliging en privacy sociaal domein. Binnen het project zal dit als eerste prioriteit worden opgepakt: het afsprakenkader en de bewerkersovereenkomst(en). Vanuit de PIA geadviseerd: Maak in de contracten met WIJ Eindhoven afspraken over gegevensverwerking, het borgen van de privacy en het naleven van de richtlijnen voor informatieveiligheid. Borg daarin dat de contractpartner hier tenminste net zo zorgvuldig mee om zal gaan als dat de gemeente verplicht is te doen. Onderdelen van deze Juli

9 afspraken kunnen zijn: dat de contractpartners inzichtelijk maken hoe zij de privacy van burgers borgen in hun werkproces, en invulling geven aan de uitgangspunten van noodzaak, subsidiariteit en proportionaliteit uit de Wbp; organisatorische waarborgen, en training van medewerkers op de gebieden van privacy en informatieveiligheid. Ook kunnen afspraken gemaakt worden over invloed van de gemeente bij uitbesteding van taken en/of ICT door WIJ Eindhoven. Actie De prestatiemanager en de accountmanager van de gemeente (SD) voor Stichting WIJeindhoven werken dit uit in overeenkomst(en) samen met en de manager bedrijfsvoering van Stichting WIJeindhoven. Zij worden hierbij ondersteund worden door de CIO-office (CISO), de ISO sociaal domein en een juridisch adviseur. (De FG reikt vanuit haar rol een modelovereenkomst aan.) Deze overeenkomsten vormen het verantwoordelijkheids- en uitvoeringskader waarmee de gemeente haar verantwoordelijkheid kan nemen en waarbinnen Stichting WIJeindhoven moet en kan opereren. Betreft overeenkomst(en) afspraken brede kaders privacy en informatieveiligheid en/of aanscherping privacy protocol (tevens bewerkersovereenkomst uitwisseling persoonsgegevens Wij-portaal) Prioriteit De bewerkersovereenkomst(en) en het afsprakenkader worden vastgelegd: eerste prioriteit. Planning (door)start bijeenkomsten juni, gereed per september 2016 Organisatiestructuur informatieveiligheid en privacy sociaal domein Voor het sociaal domein zal een informatiebeveiligingsplan worden gemaakt, waarin rollen, verantwoordelijkheden, controlemechanismen en het afleggen van verantwoording zal worden vastgelegd. Tevens zal in het informatiebeveiligingsplan worden opgenomen: de beveiligingseisen t.a.v. personeel, de interne en externe communicatie, de classificatie van informatie, logging, autorisatieprocessen, de toegangsbeveiliging, bewustwording en privacy. Dit beveiligingsplan zal jaarlijks worden geëvalueerd en geactualiseerd, ter akkoord worden voorgelegd aan het MT sociaal domein en worden gedeeld met betrokken partijen. Actie Informatiebeveiligingsplan sociaal domein Wie ISO, ondersteund door I&B en/of externe adviseur ISO Planning Gereed per oktober 2016 Sturings- en verantwoordingscyclus Het sociaal domein legt als volgt verantwoording af: periodiek, zoals vastgelegd in de verantwoordingscyclus gemeente breed, zal aan de verantwoordelijke (CISO) verantwoording worden afgelegd over de informatiebeveiliging en privacy binnen het sociaal domein middels een rapportage met van te voren gedefinieerde- indicatoren. De CISO rapporteert aan DR en college volgens de P&C cyclus over de gemeente brede voortgang en aandachtsgebieden op het onderwerp informatieveiligheid en privacy. Het handhaven van naleving wordt als volgt geborgd: in het informatiebeveiligingsplan zullen concrete maatregelen, rollen en verantwoordelijkheden worden vastgelegd ter borging van continuïteit van beveiliging. De security officer ziet er op toe dat de maatregelen worden gehandhaafd en rapporteert hier halfjaarlijks over aan de CISO. Waar nodig vindt tussentijdse evaluatie plaats (te denken aan: aanmerkelijke procesveranderingen, veranderde structuren, veranderde fysieke beveiliging zoals bij invoering devices). Binnen de sturings- en verantwoordingscyclus van het sociaal domein valt ook de informatieveiligheid en privacy van Stichting WIJeindhoven: dit wordt meegenomen in de cyclus zoals hier gedefinieerd. De stichting WIJeindhoven zal hiervoor de tevoren vastgestelde- input aanleveren. Actie Vastleggen verantwoordingscyclus in informatiebeveiligingsplan en volgens P&C cyclus rapporteren aan CISO. Wie ISO (i.s.m. CISO, FG) Planning Vastleggen afspraken met stichting WIJeindhoven: gereed per september 2016 Maken van informatiebeveiligingsplan: gereed per november 2016 Indicatoren Om toepassingen van privacy meetbaar te maken worden indicatoren ontwikkeld waaruit de zorgvuldige omgang met gegevens en de borging van de privacy blijkt. Te denken aan bijvoorbeeld klachten van burgers ten aanzien van gegevensverwerking, verzoeken om inzage en correctie en mate waarin die zijn gehonoreerd, aantal keren dat Juli

10 besloten is om tegen de wil van betrokkenen gegevens uit te wisselen en controle op logging van gebruik van persoonsgegevens. In kader van prioriteiten is dit een punt ter ontwikkeling op de langere termijn en in overleg met de FG en CISO. Actie Een aanzet voor de vast te stellen indicatoren zal worden gemaakt in 2016, naar aanleiding van uitgewerkte (beleids)plannen. De CISO/FG zal indicatoren gemeente breed nader uitwerken; de ISO sociaal domein zal specifieke indicatoren uitwerken voor management informatie sociaal domein. Planning Gereed per juni Beleid Binnen het aandachtsgebied beleid wordt het kader, waarbinnen de verwerking van persoonsgegevens en gegevensuitwisseling plaatsvindt, beschreven. Het kader omvat zowel het beleidsmatige als het juridisch kader. Beschreven wordt hoe de gemeente, zowel intern als extern, omgaat met persoonsgegevens. Bewerkersovereenkomst Wijportaal Het WijPortaal is het gegevenssysteem van de stichting WIJeindhoven, waarbij de uitvoering van het beheer ligt bij de gemeente Eindhoven. Stichting WIJeindhoven heeft voorbereidingen getroffen om de autorisaties in het WijPortaal aan te passen en is in gesprek met de leverancier van het huidige systeem om te bezien hoe dit gerealiseerd kan worden. Gemeente Eindhoven spreekt vanuit de uitvoeringsbeschikking (en bijbehorende SLA/privacy convenant) met stichting WIJeindhoven af hoe om te gaan met privacyaspecten. Stichting WIJeindhoven is vervolgens verantwoordelijk om zaken als autorisaties in te (laten) richten. In het kader van de aanbesteding van het Wijportaal is het nieuwe autorisatiemodel besproken en vastgelegd in het programma van eisen (PvE). Het nieuwe autorisatiemodel biedt meer en flexibele mogelijkheden op gebied van gebruikersrechten en de logging ervan. De ISO sociaal domein ziet toe of de inrichting van het autorisatiemodel in kader van naleving privacywetgeving is. Actie Gemeente Eindhoven (SD) en stichting WIJeindhoven werken de kaders uit. Het lijkt waarschijnlijk dat de overeenkomst van het Wijportaal onderdeel uit gaat maken van totale bewerkersovereenkomst met stichting WIJeindhoven zoals benoemd in Planning De bewerkersovereenkomst met betrekking tot het Wijportaal: gereed per september Bewerkersovereenkomsten externe partijen Bij het uitvoeren van het onderzoek naar de stand van zaken t.a.v. privacy in januari 2016 is vast komen te staan dat niet alle samenwerkingsvormen met (keten)partners zijn geborgd met z.g. bewerkersovereenkomsten (inclusief de stichting WIJeindhoven). Wanneer een externe partij (persoons)gegevens verwerkt uit naam van de gemeente, is zij in de zin van de Wbp een bewerker voor de gegevensverwerking. De wet stelt dan aan zowel de verantwoordelijke als de bewerker van gegevens eisen aan de gegevensverwerking. Deze wederzijdse eisen moeten worden vastgelegd in een bewerkersovereenkomst. In dit deelproject zal worden geïnventariseerd met welke partijen een bewerkersovereenkomst moet worden afgesloten, wat de wederzijdse eisen zullen zijn en hoe deze worden vormgegeven. Vervolgens zullen de bewerkersovereenkomsten ook daadwerkelijk worden opgesteld en door partijen worden ondertekend. De eerste bewerkersovereenkomst zal worden afgesloten, zoals beschreven in met de stichting WIJeindhoven. Uiteraard is het van belang om afspraken met elkaar te maken en vast te leggen in bewerkersovereenkomsten en/of convenanten: er dient ook controle plaats te vinden op naleving van de vastgestelde kaders. Actie Wie Inventariseren om welke externe partijen het gaat. Opstellen bewerkersovereenkomsten /convenanten: in afstemming met de externe partijen, te denken aan: contractpartijen/zorgaanbieders, Ergon, samenwerkende organisaties als gemeente Waalre, regiogemeenten. Voortgang en naleving borgen in project. ISO sociaal domein in samenwerking met FG. Juli

11 Planning Bewerkersovereenkomst stichting WIJeindhoven: gereed september 2016 Inventarisatie externe partijen waarvoor bewerkersovereenkomst en/of convenant nodig is: gereed per september 2016 Bewerkersovereenkomst afgesloten met alle betrokken partijen: gereed per januari 2017 Informatiebeleidsplan sociaal domein / Privacy beleid sociaal domein De privacy kaders worden vanuit de Wet bescherming persoonsgegevens geregeld, waarbij hoofdzaak is dat persoonsgegevens in overeenstemming met de wet en op een behoorlijke, noodzakelijke (proportionaliteit) en zorgvuldige (subsidiariteit) wijze worden verwerkt. Aanvullende voorwaarden worden vanuit de wet SUWI (Structuur Uitvoeringsorganisatie Werk en Inkomen), de Jeugdwet, Wmo en Participatiewet beschreven. Voor informatieveiligheid zijn ook diverse wetgevingen van kracht, waaronder de Basis Registratie Persoonsgegevens, de Archiefwet en de richtlijnen van de Baseline Informatiebeveiliging Nederlandse Gemeenten. De wetgeving en richtlijnen bevatten voldoende uitgangspunten voor beleidskaders sociaal domein; specifiek zullen deze kaders worden uitgewerkt in een beleidsplan/handreiking die concreet hanteerbaar is binnen de operationele uitvoering. De richtlijnen/gedragsregels zullen worden afgestemd met het gemeente brede kader. Ten behoeve van eenduidigheid, transparantie, samenhang en handhaving op de uitvoering. Actie Maken van beleidsplan / handreiking privacy en informatieveiligheid voor sociaal domein Wie ISO sociaal domein in samenwerking met FG. Planning Gereed per oktober Werkprocessen Het inrichten en uitwerken van werkprocessen rondom het omgaan met persoonsgegevens. Daarnaast moeten de werkprocessen worden geborgd in werkafspraken en convenanten. Informatieanalyse op de werkprocessen (en afweging van triagemomenten) Inzicht in alle verwerkingen van persoonsgegevens, gegevensuitwisselingen binnen de processen en de wettelijke bewaartermijnen; dit wordt geïnventariseerd en vastgelegd vanuit juridische kaders. Per proces worden afwegingen gemaakt van de noodzaak van gegevensverwerking en dossiervorming. Vragen die hierbij van toepassing zijn (uit PIA): Zijn de werkprocessen uitgewerkt voor de verschillende taken en activiteiten? Zijn er triagemomenten benoemd? Is er een informatieanalyse gemaakt t.a.v. noodzakelijke gegevensverwerking: zien medewerkers structureel alleen die gegevens die op basis van de hulpvragen en de inhoudelijke problematiek die zich aandient noodzakelijk zijn? Zo niet: wordt mogelijk de privacy van betrokkenen onnodig aangetast en zijn gegevensverwerkingen mogelijk onrechtmatig. Is er een apart proces ingericht voor signalen inclusief afwegingen ten aanzien van bewaren en vernietigen? Zijn er procedures ontwikkeld om de privacy te waarborgen rond verschillende typen casusoverleg en consultering, en zijn die geborgd in afspraken met samenwerkingspartners? Privacy aspecten zijn uiteraard ook van toepassing op mondelinge en/of telefonische overdracht. Zijn er processen ingericht rondom inzage en correctierecht van burgers? Actie Fase 1, Informatieanalyse werkprocessen t.a.v. gegevensverwerking, gegevensoverdracht, bewaartermijnen en autorisaties. Uitgangspunt voor de uitwerking is de privacy scan Informatievoorziening Sociaal Domein (VISD). Fase 2, Doorvoeren en borgen van (aangepaste) werkprocessen in de lijnorganisatie. Wie Informatieanalist I&B (of externe adviseur ISO) met proceseigenaren en medewerkers POK. Betrokkenen: I&B, jurist, DIV, lijnvertegenwoordiging. Planning Gereed per oktober Bewustwording medewerkers en positie van de burger Professionals moeten over een privacy bewustzijn beschikken om privacy situaties te herkennen. Zij moeten hierin worden opgeleid en getraind. Naast opleiding en training is communicatie intern en aan burgers essentieel. Juli

12 Bewustwording privacy en veiligheid De mate waarin burgers hun privacy geborgd weten, wordt in belangrijke mate bepaald door de kwaliteit en de professionaliteit van de medewerkers, ook met betrekking tot privacy en gegevensverwerking. Dat betekent dat het belangrijk is dat privacy, zorgvuldige omgang met gegevens en triage ten aanzien van noodzakelijke gegevens, onderdeel moeten zijn va de professionele bagage van de medewerkers. Ook zullen teamleiders actief moeten sturen op een zorgvuldige omgang met gegevens en zorgen dat wordt gewerkt conform het privacy beleid. Vragen die hierbij van toepassing zijn (uit PIA): Is er een gedragscode geïmplementeerd om uit te dragen wat het belang is van privacy en aan welke regels en reglementen medewerkers in het sociaal domein zich dienen te houden? Worden medewerkers getraind in een zorgvuldige omgang met persoonsgegevens en triage ten aanzien van gegevensverwerking? Hoe wordt gestuurd door leidinggevenden op een zorgvuldige omgang met persoonsgegevens en het borgen van de privacy? Breder dient ook gekeken te worden naar fysieke dossiers en archivering: is er bewustzijn op omgaan met? Actie Wie Planning Bewustwordingsplan maken: campagnes, workshops, trainingen. Opnemen structurele procedures awareness in informatiebeveiligingsplan CISO, FG, ISO ism communicatie Start per september 2016 voor campagnes/trainingen/acties, continuerend proces 2017/2018 Geheimhoudingsverklaringen en gedragscode voor professionals Uit rekenkamerrapport: Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers moeten op de hoogte zijn van deze procedures. Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies. Externe medewerkers, stagiaires en trainees tekenen een overeenkomst waarin ook geheimhouding in vernoemd staat. Actie FG en ISO zorgen in afstemming met P&O voor overeenkomsten, checken de geheimhoudingsverklaringen en dragen zorg voor geldende gedragscodes medewerkers en inhuur. Planning Gereed per oktober 2016 Communicatie en informatieplicht inwoners Transparantie over het gebruik van persoonsgegevens is een belangrijk onderdeel van het borgen van de privacy. Burgers horen geïnformeerd te worden als de overheid persoonsgegevens van hen wil registreren en verwerken, en ze horen in de gelegenheid gesteld te worden daar verzet tegen aan te tekenen. Ook heeft de burger recht op inzage en correctie van zijn en haar gegevens. Hierbij kunnen altijd beperkingen gelden in bijzondere gevallen, bijvoorbeeld als inzage in sommige gegevens de veiligheid van anderen in gevaar kan brengen. De kabinetsvisie 'Zorgvuldig en bewust' over privacy in het sociaal domein benadrukt het belang van transparantie naar de burger en de noodzaak om de drempel naar uitoefening van zijn rechten laagdrempelig te maken. Juist in de huidige situatie waarin meer gegevens verwerkt gaan worden door gemeenten. De hamvraag is: hoe wordt ervoor gezorgd dat de omgang met gegevens transparant is voor de burger, en de burger zijn rechten kan uitoefenen? En dat we op de juiste wijze toestemming vragen aan de burger voor het opvragen van gegevens bij derden? Vragen die hierbij van toepassing zijn (uit PIA): Wordt er gewerkt vanuit het transparantiebeginsel? Is voor de burger inzichtelijk welke gegevens worden verzameld, met welk doel, wat er met de gegevens gebeurt, wie toegang heeft en welke rechten er zijn? Hoe wordt de burger geïnformeerd over de omgang met persoonsgegevens, zijn rechten en op welke momenten in het proces? Zijn er procedures ingericht zodat de burger gebruik kan maken van zijn rechten? Is de informatie in overeenstemming met wet- en regelgeving? Is de toestemming van de burger in overeenstemming met de privacy regelgeving? Wordt periodiek getoetst of de burger voldoende en juist wordt geïnformeerd? Is er een bezwaar- en beroepsprocedure met betrekking tot gegevensverwerking? Actie Doorlopen processen / procedures op transparantie en maken informatiemateriaal burgers Juli

13 Wie FG i.s.m. ISO Planning Gereed per oktober 2016 Security innovatie gegevensuitwisseling : pilot De noodzaak om te voorzien in een oplossing waarmee (be)veilig(d) bestanden worden uitgewisseld wordt groter door o.a. de wet Meldplicht datalekken die per 1 januari 2016 van kracht is. De huidige oplossing is niet meer up-to-date; een actueel beveiligd systeem is noodzakelijk. De pilot start binnen het sociaal domein. De stichting WIJeindhoven heeft aangegeven deel uit te willen maken van de opzet pilot. Na evaluatie wordt overwogen de oplossing gemeente breed te implementeren. Actie Wie Planning Besluitvorming en start PILOT implementatie security tool (mail)uitwisseling Projectleider I&B i.s.m. sociaal domein. Per september 2016 start de pilot 4.5 Beheer en opslag van gegevens Zorgvuldig beheer en opslag van gegevens is een randvoorwaarde voor het verwerken van persoonsgegevens. Met het implementeren van privacy moet daarom ook een koppeling worden gemaakt met informatiebeveiliging. Deze koppeling wordt in de uitvoering van dit plan meegenomen, waarbij de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als uitgangspunt wordt genomen. GAP-analyse informatiebeveiliging /BIG/ Suwinet-richtlijnen Eind 2014 is een GAP-analyse in het kader van de BIG uitgevoerd. Deze GAP-analyse wordt als uitgangspunt gehanteerd om maatregelen door te voeren bij de implementatie van de BIG. Specifieke onderdelen zijn: beveiligingsrelevante maatregelen als logging van gegevens en bewaking daarvan, logisch gescheiden systemen (data en gebruikersprofielen) met betrekking tot de verschillende omgevingen als Productie, Test en/of Acceptatie en Ontwikkeling, gebruik van wachtwoorden, etc. Tijdens het gehele project zal aandacht worden besteed aan het blijven voldoen aan de eisen in het kader van Suwinet. Met het compliant zijn aan de BIG worden ook de Suwinet-richtlijnen meegenomen. Actie Implementatiemaatregelen sociaal domein (deels al opgenomen in informatiebeveiligingsplan punt en gestructureerd gegevensbeheer punt 3.5.2) Dit valt binnen de gemeente brede uitwerking van de BIG richtlijnen. Onderdeel: BIG implementatie Suwinet. Wie I&B trekker ism projectleider/iso, CISO/FG. Planning Gereed per december 2017 Gestructureerd gegevensbeheer Afwegingen ten aanzien van de te registreren persoonsgegevens, dossiervorming, toegang van medewerkers tot gegevens hebben potentieel grote impact op de privacy van burgers. Opslag en beheer van persoonsgegevens dienen op een juiste manier ingericht te zijn. Het is belangrijk om te weten welke persoonsgegevens in welk systeem worden opgeslagen, hoe lang ze bewaard mogen of moeten worden en wat er na die termijnen mee gebeurt; welke informatie tussen systemen wordt uitgewisseld en welke beveiligingseisen er aan de systemen gesteld worden. Daarnaast is het van belang om inzichtelijk te maken en te houden wie welke autorisatie heeft om persoonsgegevens te mogen verwerken binnen het sociaal domein, daarbij rekening houdend met de specifieke taak, rol en verantwoordelijkheid van de gebruiker of professional (zoals omschreven in de werkprocessen). Uiteindelijk gaan we steeds meer opereren vanuit Privacy by design : al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen en nieuwe processen) besteden we bij aanvang aandacht aan privacy verhogende maatregelen waarbij we rekening houden met dataminimalisatie: we verwerken alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Vragen die hierbij van toepassing zijn in kader van privacy (uit PIA): Is duidelijk welke gegevens op welke systemen worden verwerkt en wie toegang hebben tot deze gegevens? Is de toegang tot gegevens zo georganiseerd dat medewerkers uitsluitend toegang hebben tot voor hun taak noodzakelijke gegevens, van cliënten waar zij bij betrokken zijn? Faciliteert het ICT-systeem de borging van de privacy tijdens het inhoudelijk proces met: Dossieropbouw en getrapte ontsluiting van informatie; Scheiding van typen informatie (toeleiding, regie, administratie); Geautomatiseerde vernietiging na verstrijken van bewaartermijnen? Is er sprake van logging, regelmatige review, en actieve sturing op basis van logging door leidinggevenden ten aanzien van onrechtmatige of bovenmatige gegevensverwerking? Heeft u maatregelen genomen om bij het genereren van stuur- beleids- en managementinformatie de privacy van betrokken en te borgen? Juli

14 Actie Verder in kaart brengen /actualiseren gegevenssystemen sociaal domein. Dataclassificatie wordt gemeente breed in 2016 afgerond. Wie Vanuit gemeente breed kader opgepakt, specifiek voor sociaal domein: ondersteuning van informatie architect I&B / of externe ondersteuning ISO, Klantteam, proceseigenaren, coördinator DIV, I&B, ISO, applicatiebeheerder(s) Planning Gereed per november 2016 Identity & Access Management (IAM) Omdat er steeds meer samenwerkingsvormen ontstaan tussen de gemeente en andere organisaties wordt een adequate structurele oplossing voor Identity en Access Management steeds meer noodzakelijk. Zowel voor individuele wijzigingen als voor bulk wijzigingen. Vanaf 2010 zijn frequent gemeente breed onderzoeken gedaan. Vanuit een hernieuwde opstart van het project, heeft het sociaal domein, middels het Klantteam, aangegeven behoefte te hebben aan verbeterde Identity en Access Management. Momenteel heeft inventarisatie plaats gevonden binnen o.a. het sociaal domein met betrekking tot wensen/behoefte t.a.v. een tool voor automatisering en beheersing autorisatieproces: Wie zijn de medewerkers? (Identity) Welke rechten hebben zij aangevraagd en zijn deze rechtmatig als al of niet toegekend? (Access) De distributie van de toegekende rechten naar afnemende applicaties en systemen. Actie Wie Planning Implementeren tool IAM In de lead: Projectleider IAM, i.s.m. Klantteam en ISO Implementatie in 2017 (afhankelijkheden leveranciers, mogelijk aanbestedingstraject) 4.6 Overige producten en activiteiten Procedure Melplicht Datalekken Vanaf 1 januari 2016 is de meldplicht datalekken van kracht geworden. De gemeente Eindhoven, en dus ook het sociaal domein, moet hieraan voldoen. Hiervoor is een datalek proces ingericht. Binnen het sociaal domein is extra aandacht voor de wet datalekken omdat hier in verhouding de meeste persoonsgegevens worden verwerkt. Binnen het sociaal domein is de taak voor het (mede) inschatten van datalekken worden belegd bij de ISO. De procesafstemming en uitwerking ligt bij de FG. Actie FG: uitwerken procedure Meldplicht Datalekken, voorlichting en nadere uitwerking binnen sociaal domein in afstemming met ISO Planning Gereed per oktober 2016 Europese Algemene Verordening Gegevensbescherming (AVG 2018) De ISO van het sociaal domein stemt met de FG af welke voorbereidingen getroffen moeten worden zoals gesteld in de nieuwe Europese Verordening gegevensbescherming Het impliceert o.a. strengere beveiligingsmaatregelen, inzichtelijkheid in alle persoonsgegevens die worden verwerkt en andere inrichting van systemen vanwege dataportabiliteit (gegevensoverdraagbaarheid binnen de systemen). Actie Vooruitlopend op de Europese verordening borgen en implementeren van privacy in huidige werkprocessen Wie FG in afstemming met ISO Planning Continu proces 2016 t/m 2018 Juli

15 4.7 Activiteitenplanning Onderwerpen e kwartaal Overeenkomsten kaderstelling stichting WIJeindhoven; sturing gemeente Bewerkersovereenkomst Wij-portaal Bewerkersovereenkomsten / privacy convenanten Informatiebeveiligingsplan met verantwoordingscyclus Beleidsplan / handreiking Bewustwording campagne(s) Gedragscode voor professionals Informatie(materiaal) inwoners en inzagerecht Informatieanalyse werkprocessen (triage) BIG richtlijnen inclusief BIG Suwinet Registratie van gegevensbeheer sociaal domein Privacy scan VISD (check en registratie) Ontwikkeling indicatoren Implementatie applicatie mailuitwisseling Implementatie tool IAM Oriëntatie op EU verordening Rood = hoge prioriteit Oranje = gemiddelde prioriteit/doorloop Geel = uitlooptijd i.v.m. afhankelijkheden Juli