DDFK-Gemeenten BEVEILIGINSPLAN SUWINET 2017

Transcriptie

1 DDFK-Gemeenten BEVEILIGINSPLAN SUWINET 2017

2 Versiebeheer 0.1 Januari/februari 2017 Auteur: Rudy Cuperus Beoordeeld door Adviseur Gegevensbescherming,CISO en teamleiders Suwinetgebruikers Inhoud 1. Inleiding Normenkader Suwinet-Inkijk Wie mag Suwinet gebruiken en waarvoor? Autorisatie Autorisatieprocedure Procedure bij functiewijziging of einde dienstverband/opdracht Controle op autorisaties Verantwoordelijkheden Gebruik wordt gelogd... 8 BIJLAGE: Autorisatiematrix Suwinet... 9 BIJLAGE: Verklaring rechtmatig gebruik Suwinet BIJLAGE: Tien gouden regels bij informatiebeveiliging Afkortingen AP Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) BKWI Bureau Keteninformatisering Werk en Inkomen BRP Basisregistratie Personen CISO Chief Information Security Officer DUO Dienst Uitvoering Onderwijs GSD Gemeentelijke Sociale Dienst Ioaw Wet Inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers Ioaz Wet Inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen PW Participatiewet RDW Rijksdienst voor het Wegverkeer SUWI Structuur Uitvoeringsorganisatie Werk en Inkomen SVB Sociale Verzekeringsbank UWV Uitvoeringsinstituut Werknemersverzekeringen WBP Wet Bescherming Persoonsgegevens

3 1. Inleiding Binnen het domein Werk en Inkomen vindt op grond van wet SUWI (Structuur Uitvoering Werk en Inkomen) digitale gegevensuitwisseling plaats via het SUWI netwerk. Medewerkers kunnen voor de uitvoering van hun wettelijke taken (Participatiewet, IOAW en IOAZ) de webapplicatie Suwinet-Inkijk raadplegen. Via Suwinet zijn gegevens van 17 miljoen Nederlanders verkrijgbaar. Partners in de keten van werk en inkomen (gemeenten, UWV, SVB, Belastingdienst, Kadaster en RDW) delen via het gegevensknooppunt Suwinet gegevens met elkaar. Suwinet is bedoeld om gegevens van personen die een socialezekerheidsuitkering aanvragen of ontvangen op te vragen zodat het recht op een uitkering kan worden vastgesteld. De burger hoeft hierdoor minder gegevens aan te leveren. Het is van belang dat wij zorgvuldig omgaan met deze privacygevoelige gegevens van burgers. Iedere gemeente is zelf verantwoordelijk voor een juist gebruik van de gegevens en voor beveiligingsbeleid conform de wet SUWI en de Wet bescherming persoonsgegevens. Sinds 25 mei 2016 is ook de nieuwe Europese privacyverordening (Algemene Verordening Gegevensbescherming) van toepassing op deze gegevensuitwisselingen. Verantwoording Als algemene norm geldt dat een organisatie zijn beveiligingsbeleid regelmatig evalueert en zo nodig bijstelt. Deze norm is gebaseerd op artikel 13 van de Wet bescherming persoonsgegevens. In de Verantwoordingsrichtlijn is deze norm vertaald in de bepaling dat dit eens per jaar gebeurt. De taak om na te gaan of gemeenten volgens deze norm evalueren en bijstellen is nergens belegd. In artikel 169 van de Gemeentewet is bepaald dat het college in algemene zin verantwoording aan de gemeenteraad verschuldigd is over het gevoerde bestuur. Gegeven het grote belang van informatiebeveiliging van persoonsgegevens ligt het voor de hand dat het college zich hierover aan de gemeenteraad verantwoordt. DDFK-organisatie Op 1 januari 2017 is de ambtelijke organisatie DDFK van start gegaan. Ambtenaren werken in deze nieuwe organisatie voor de vier gemeenten Dantumadiel, Dongeradeel, Ferwerderadiel en Kollumerland c.a. In de nieuwe organisatie zijn in de concernstaf twee functionarissen benoemd die voor de DDFK-organisatie verantwoordelijk zijn voor informatie- en privacybeveiliging: De adviseur gegevensbescherming adviseert en coördineert met betrekking tot bescherming persoonsgegevens DDFK-gemeenten, informeert en adviseert met betrekking tot gebruik van persoonsgegevens, leidt op en traint medewerkers gegevensverwerking, en is contactpersoon voor de Autoriteit Persoonsgegevens. De beveiligingsmanager (CISO) ontwikkelt, adviseert en coördineert met betrekking tot de informatiebeveiliging, houdt toezicht op implementatie, naleving en registratie en verzorgt interne voorlichting en instructie met betrekking tot informatiebeveiliging. De functie van security-officer (SO) voor Suwinet is formeel nog belegd in de voormalige afdeling Wurk Ynkommen Soarch van de gemeente Dantumadiel (thans Zorg&Ondersteuning). In de loop van 2017 wordt de functie van SO Suwinet bij de CISO belegd. 1.1 Normenkader De onderstaande regelgeving is van toepassing: - In artikel 10 van de Grondwet is bepaald dat iedereen recht heeft op bescherming van zijn persoonlijke levenssfeer. Ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens moeten wettelijke regels vastgesteld worden. - De Wet bescherming persoonsgegevens (Wbp) stelt dat persoonsgegevens alleen voor bepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verkregen. Persoonsgegevens moeten in overeenstemming met de wet en op een zorgvuldige en behoorlijke wijze worden verwerkt. Onder verwerken in de zin van de Wbp moet onder meer worden verstaan het verzamelen, vastleggen, bewaren, opvragen en verstrekken door middel van doorzending.

4 - In artikel 125a van de Ambtenarenwet staat dat elke ambtenaar verplicht is tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen, voor zover die verplichting uit de aard der zaak volgt. Schending van deze geheimhoudingsplicht is opgenomen in artikel 272, lid 1 van het Wetboek van Strafrecht. - De Regeling Suwi bevat voorschriften over de beveiliging van Suwinet en de verantwoording daarover. Artikel 6.4 van de Regeling bepaalt dat de Suwinet-partijen zorg dragen voor de beveiliging van de gegevensuitwisseling en de wijze waarop zij hieraan invulling geven in een beveiligingsplan. Door middel van dit beveiligingsplan geven wij invulling aan deze verplichting. - In 2008 is de Wet eenmalige gegevensuitvraag werk en inkomen (WEU) in werking getreden. In deze wet is bepaald dat in de keten van werk en inkomen bepaalde gegevens slechts één keer bij burgers opgevraagd mogen worden, en dat deze daarna door de andere ketenpartners moeten worden hergebruikt. De wet wordt gefaseerd ingevoerd. In bijlage II van de Regeling Suwi is vastgelegd voor welke gegevens dit geldt en uit welke bron die gegevens moeten worden geput. - In de socialezekerheidswetten zijn bepalingen opgenomen over de regels die van toepassing zijn bij de uitwisseling van persoonsgegevens. Ook zijn in deze wetten geheimhoudingsbepalingen opgenomen. Ambtseed/gelofte Alle medewerkers in vaste of tijdelijke dienst van de DDFK-organisatie moeten de ambtseed of gelofte afleggen. Hiermee verklaren zij zorgvuldig met informatie om te gaan die zij uit hoofde van hun functie onder ogen krijgen. Deze wordt in het persoonsdossier van de medewerker opgenomen. De medewerker ontvangt een afschrift van de ondertekende ambtseed/gelofte. Incidenteel worden via externe bureau s tijdelijke medewerkers ingehuurd. Op deze medewerkers is het ambtenarenrecht niet van toepassing, zij leggen geen ambtseed af. Zij moeten een Verklaring rechtmatig gebruik Suwinet (zie bijlage) ondertekenen voordat zij een Suwinet-autorisatie krijgen.

5 2. Suwinet-Inkijk 2.1 Wie mag Suwinet gebruiken en waarvoor? Suwinet mag alleen gebruikt worden in de keten van werk en inkomen voor taken die expliciet in de betreffende socialezekerheidswetten zijn beschreven. Buiten deze keten is gebruik van Suwinet niet toegestaan. Wie mogen Suwinet gebruiken? Medewerkers van gemeenten die belast zijn met de uitvoering van de wettelijke taken die vallen onder de Participatiewet en Ioaw 1. Dit geldt tevens voor ingehuurde externe capaciteit, bijvoorbeeld een medewerker die wordt ingehuurd via een uitzend- of detacheringsbureau. Niet-Suwipartijen die op basis van een overeenkomst op grond van artikel 5.23 van het Besluit Suwi en conform het aansluitprotocol (bijlage III Regeling Suwi) een zelfstandige aansluiting hebben op Suwinet. Binnen de DDFK-organisatie betreft dit de consulent Inkomen met taakgebied vergunninghouders (inburgering). Waarvoor mogen zij Suwinet gebruiken? Bij de beoordeling of Suwinet gebruikt mag worden staan drie vragen centraal: 1. Valt de taak onder de uitvoering van de Participatiewet of Ioaw? 2. Zo ja, staat deze taak/beoordeling expliciet in die wetten beschreven? 3. Zo ja, zijn de gewenste gegevens noodzakelijk voor de uitvoering van deze wetten? Als het antwoord op al deze vragen ja is, dan is raadpleging van Suwinet toegestaan. Dit geldt in ieder geval voor de volgende taken: Taak Vaststellen van rechtmatigheid van de uitkering Vaststellen definitieve einddatum na opschorting Re-integratiewerkzaamheden, ook voor ex-gedetineerden mits zij onder de doelgroep PW vallen Bijzondere bijstand (individueel, categoriaal, individuele inkomenstoeslag, individuele studietoeslag) Terugvordering en verhaal Grondslag Artikel 17, eerste lid PW Artikel 53a, eerste en zesde lid PW Artikel 14 Ioaw Artikel 7, eerste lid PW Artikel 35, 36, 36b PW Artikel 58 t/m 62i PW Artikel 25 t/m 33 Ioaw Voor de beantwoording van de derde vraag (zijn de gegevens noodzakelijk) gelden de volgende beperkingen: Voor het vaststellen van kostendeling mag van medebewoners alleen de pagina kostendelerstoets worden geraadpleegd. De medebewoners mogen zelf niet via Suwinet bevraagd worden. Voor inburgeringstaken mag Suwinet alleen gebruikt worden als het een duaal traject betreft (de inburgeraar volgt tevens een re-integratietraject). Suwinet mag gebruikt worden voor ESFaanvragen. In de volgende gevallen mag Suwinet niét worden gebruikt: Opvragen gegevens van een jongere tijdens de zoekperiode van vier weken. Pas na deze vier weken kan de jongere een bijstandsaanvraag doen, vanaf dat moment mag de gemeente de jongere raadplegen in Suwinet. Voor uitvoering van gemeentelijke schuldhulpverlening Beoordelen van het recht op minimavoorzieningen die geen grondslag vinden in de Participatiewet, zoals de Lauwersregeling, kwijtschelding; Controle of een leverancier/dienstverlener voldoet aan op social return; (Verbijzonderde) interne controle door een controleur of accountant. De gegevens die via Suwinet zijn verkregen en daarmee aan de gemeente zijn overgedragen (de gemeente is Wbp verantwoordelijke vanaf het moment van overdracht), mogen niet worden 1 De zelfstandigenregelingen Ioaz en Bbz worden voor de DDFK+S-gemeenten uitgevoerd door het Bureau Zelfstandigen Fryslân, ressorterend onder de gemeente Leeuwarden.

6 hergebruikt of doorgeleverd voor andere doelen dan waarvoor de gegevens oorspronkelijk verzameld zijn. Dit is bepaald in de geheimhoudingsplicht van artikel 74 van de wet Suwi. Wie mogen Suwinet niét gebruiken? Suwinet mag bij uitbesteding van taken niet worden gebruikt door medewerkers van de partij waaraan is uitbesteed. Personen onder gezag van een commerciële dienstverlener mogen niet geautoriseerd worden. Suwinet mag niet gebruikt worden door gemeentelijke medewerkers die andere taken uitvoeren dan de Participatiewet of Ioaw. Op basis van het bovenstaande onderscheiden we in de DDFK-organisatie de volgende functies die geautoriseerd kunnen worden om gebruik te maken van Suwinet (de kerntaken zijn overgenomen uit het document Taaktyperingen bij Functieboek II, versie 7 juni 2016). Functie Regisseur Participatie Regisseur WMO Consulent inkomen Consulent inkomen met taakgebied vergunninghouders Consulent Terugvordering&Verhaal Bijzonder controleur Medewerker administratie sociaal domein Werkcoach Werkcoach Test&Training Kerntaken (voor zover van belang voor Suwinetgebruik) Levert het inkomensaandeel bij de totstandkoming van maatwerkplannen binnen het gebiedsteam. Voert (integraal) regie over voortgang, bijstelling, overdracht en/of beëindiging van multiproblem casuïstiek Voert (integraal) regie over voortgang, bijstelling, overdracht en/of beëindiging van multiproblem casuïstiek. Handelt meldingen, aanvragen en beëindiging van individuele inkomensvoorzieningen af. Stelt beschikkingen op, toetst rechtmatigheid, registreert rapportages en berekeningen. Idem als consulent inkomen Verricht intakes met klanten en beleidsuitvoerende werkzaamheden op het gebied van Huisvesting Vergunninghouders of reguliere (nieuwe) klanten Handelt af en beoordeelt meldingen Terugvordering en Verhaal Verricht beleidsuitvoerende werkzaamheden op het gebied van Terugvordering en Verhaal. Stelt besluiten op en registreert rapportages en mutaties. Handelt af en beoordeelt van signalen van fraude, fraudemeldingen en fraudezaken. Verricht onderzoek, controle, huisbezoeken, waarnemingen, observaties en opsporingen Bewerkt en controleert gegevens met betrekking tot het sociaal domein Verzorgt intakes en behandelt aanvragen c.q. voorstellen op het terrein van arbeidstoedeling, activering en participatie. Ondersteunt en activeert werkklanten bij het opstellen van ontwikkelplannen en volgt en bewaakt de uitvoering hiervan. Verzorgt intakes en coacht potentiele werknemers gedurende de werkscan Toegestaan gebruik Suwinet Aanvragen Participatiewet, Ioaw, bijzondere bijstand LET OP: de via Suwinet verkregen gegevens mogen niét gebruikt worden binnen de andere kolommen binnen het Sociaal Domein! Regisseur WMO is belast met nazorg voor exgedetineerden. De regisseur WMO mag Suwinet alleen raadplegen voor exgedetineerden die onder de doelgroep van artikel 7 Participatiewet vallen. De via Suwinet verkregen gegevens mogen niét gebruikt worden binnen de andere kolommen van het Sociaal Domein. Aanvragen Participatiewet, Ioaw, bijzondere bijstand Heronderzoeken recht- en doelmatigheid Overige beoordelingen die via een mutatieformulier binnenkomen Idem als consulent inkomen Via inburgeringsportal raadplegen ISI en BPI Debiteuren(her)onderzoeken ter vaststelling van actuele woonplaats, draagkracht, inkomen en/of werkgever Controle opgave van inkomsten bij uitkeringsverwerking Controle ingevulde gegevens op mutatieformulier

7 Functie Applicatiebeheerder Security-officer (CISO) Kerntaken (voor zover van belang voor Suwinetgebruik) periode Stelt diagnoserapporten op ten behoeve van het vervolgtraject van activering en participatie van potentiele werknemers Verzorgt het functioneel beheer van één of enkele applicaties Verzorgt het incident- en wijziging beheer t.o.v. de applicatie(s) Inventariseert gebruikersbehoeften en vertaalt deze in voorstellen Ondersteunt de gebruikers Ontwikkelt, adviseert en coördineert m.b.t. de informatiebeveiliging Houdt toezicht op implementatie, naleving en registratie Toegestaan gebruik Suwinet Gebruikers binnen Suwinet-applicatie autoriseren voor toegang Operationeel houden van de applicatie NB: de applicatiebeheerder kan geen persoonsgegevens opvragen Gebruikers autoriseren voor toegang tot Suwinet, bepalen rol Periodieke controle gebruiksrapportage Jaarlijkse evaluatie Beveiligingsplan op actualiteit en volledigheid Rapporteert aan management Zorg&Ondersteuning en CMT over gebruik Suwinet Attendeert medewerkers op zorgvuldig gebruik Suwinet NB: de CISO kan geen persoonsgegevens opvragen Andere functies dan de hierboven genoemde krijgen geen toegang tot Suwinet. De taaktypering staat het gebruik van Suwinet niet toe.

8 3. Autorisatie Bij het autoriseren van toegang tot Suwinet gelden de volgende uitgangspunten: 1. De toegang wordt verleend op basis van de functie waarin de medewerker is benoemd. Naast de standaardautorisatie op basis van de autorisatiematrix worden geen autorisaties voor andere functionaliteiten verleend. 2. Bij functiewijziging of vertrek wordt de autorisatie direct aangepast. De teamleider is verantwoordelijk voor een tijdige aanpassing. 3. Suwinetaccounts zijn persoonsgebonden. Inloggegevens worden niet aan andere personen ter beschikking gesteld. Er bestaan geen groepsaccounts. 4. Applicatiebeheerders en de CISO hebben een beheeraccount. Zij hebben geen toegang tot persoonsgegevens. 3.1 Autorisatieprocedure 1. De teamleider dient bij de CISO een autorisatieverzoek in. In dit verzoek vermeldt de teamleider de naam, functie, begindatum en indien van toepassing de einddatum van de periode waarvoor de autorisatie gevraagd wordt. Bij het verzoek moet een door de betreffende medewerker ondertekende Verklaring rechtmatig gebruik Suwinet (zie bijlage) gevoegd zijn als de betreffende medewerker geen ambtseed of gelofte heeft afgelegd. 2. De CISO beoordeelt het verzoek. Op basis van de functie wordt op basis van de autorisatiematrix een gebruiksrol toegekend. 3. De CISO geeft de applicatiebeheerder opdracht het toegewezen account aan te maken. In geval van een einddatum wordt de einddatum in het gebruikersbeheer ingevoerd. 4. De applicatiebeheerder verstrekt per Suwimail of verzending met Cryptshare de inloggegevens aan de medewerker. 3.2 Procedure bij functiewijziging of einde dienstverband/opdracht 1. De teamleider is verantwoordelijk voor het doorgeven van de wijziging of het einde van het dienstverband aan de CISO op een zodanig tijdstip dat oneigenlijk gebruik van Suwinet niet mogelijk is. 2. De CISO geeft de applicatiebeheerder opdracht het gebruikersaccount aan te passen aan de gewijzigde functie, dan wel het gebruikersaccount in te trekken. 3.3 Controle op autorisaties Ten minste eenmaal per kalenderjaar controleert de CISO zichtbaar of de personen die toegang hebben tot Suwinet: 1. (nog) werkzaam zijn binnen de DDFK-organisatie; 2. een functie hebben waarvoor toegang tot Suwinet kan worden verleend; 3. daadwerkelijk gebruik maken van Suwinet. Als blijkt dat een persoon Suwinet langere tijd niet hebben gebruikt waar dit gezien de functie wel verwacht mag worden, dan gaat de CISO bij de teamleider na wat daarvan de reden(en) zijn. Dit kan duiden op gebruik van Suwinet op de autorisatie van een andere medewerker. 3.4 Verantwoordelijkheden Voor Suwinet hebben de volgende functies de volgende verantwoordelijkheden: Suwinetgebruikers Zorgvuldig gebruik voor het uitvoeren van wettelijke taken Applicatiebeheerder Beheer van autorisaties CISO Kwaliteitszorg en borging van rechtmatig gebruik Management + CISO Optreden bij oneigenlijk gebruik of misbruik van Suwinet Uitdragen van zorgvuldig gebruik De manager Zorg&Ondersteuning is eindverantwoordelijk voor het gebruik en beveiliging van Suwinet.

9 4. Gebruik wordt gelogd Het BKWI is verplicht 2 om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker kan worden nagegaan. In de bijlage beveiliging bij de Regeling SUWI staat dat het BKWI verantwoordelijk is voor het opstellen van genoemde rapportages en dat de Suwi-organisaties de rapportages analyseren teneinde (vermoedelijk) misbruik te kunnen detecteren. In de loggingapplicatie worden persoonsgegevens opgeslagen. De gelogde gebruikersnaam wordt vastgelegd en verschaft informatie over een identificeerbaar natuurlijk persoon, die binnen het Suwinet-Inkijk informatiesysteem handelingen verricht. Omdat deze opslag van persoonsgegevens geautomatiseerd plaatsvindt, dienen alle bepalingen in de WBP bij het gebruik van de loggingapplicatie door zowel het BKWI als alle betrokken ketenpartners in acht te worden genomen. De volgende gegevens worden bij elk gebruik van (de functionaliteiten van) Suwinet-Inkijk binnen de loggingapplicatie opgeslagen: het tijdstip van iedere log-in en log-out en andere actie; de gebruikersnaam van degene die inlogt/uitlogt; elk BSN (of andere zoeksleutel) waarvan gegevens worden opgevraagd; elke actie, zoals de bekeken kolom- of overzichtspagina s. Het doel van deze logging is tweeledig, te weten: 1. Tegengaan en controleren van onrechtmatige, onregelmatige of doeloverschrijdende verwerking. 2. Wetenschappelijk en/of statistische doeleinden om werking en de functionaliteit van het Suwinet- Inkijk informatiesysteem te evalueren en verbeteren. Suwinetgebruikers moeten weten dat hun gegevens worden verzameld en vastgelegd, en met welke reden. Ook voor de gebruiker geldt namelijk bescherming van persoonsgegevens. 2 Artikelen 6.2 en 6.3 Regeling Suwi

10 BIJLAGE: Autorisatiematrix Suwinet

11 BIJLAGE: Verklaring rechtmatig gebruik Suwinet Ondergetekende: Naam Functie BELOOFT/VERKLAART: op de hoogte te zijn van de privacy- en Suwi wet- en regelgeving en zich daaraan te houden zorgvuldig om te gaan met de (persoons)gegevens en de inhoud van de documenten die bij de uitvoering van de werkzaamheden in Suwi-verband zijn ingezien dat (persoons)gegevens niet meer of vaker worden geraadpleegd dan voor de uitoefening van zijn functie strikt noodzakelijk is (persoons)gegevens niet aan onbevoegden te verstrekken; het Suwinet-account en wachtwoord zorgvuldig en strikt persoonlijk te gebruiken en niet aan anderen ter beschikking te stellen. op de hoogte te zijn van de inhoud van het algemene informatiebeveiligingsbeleid van de organisatie en het beveiligingsplan Suwinet. gedurende de duur van de werkzaamheden in Suwinet-verband en ook na beëindiging van deze werkzaamheden geheimhouding te betrachten met betrekking tot alle (persoons)gegevens. bekend te zijn dat in het kader van interne controle alle BSN-nummers die zijn geraadpleegd via Suwinet-Inkijk opgevraagd kunnen worden. bekend te zijn dat bij het vermoeden van onrechtmatig gebruik of misbruik van Suwinetgegevens een onderzoek wordt gestart. Bij vaststelling van onrechtmatig handelen of van misbruik worden passende maatregelen getroffen. Handtekening medewerker:

12 BIJLAGE: Tien gouden regels bij informatiebeveiliging 1. Kennisnemen van het informatiebeveiligingsbeleid Het binnen DDFK geldende informatiebeveiligingsbeleid en de bijbehorende richtlijnen, instructies en protocollen zijn op iedereen in onze organisatie van toepassing. 2. Wachtwoorden zijn persoonlijk Wachtwoorden zijn strikt persoonlijk en worden uitsluitend door jou gebruikt om toegang tot de betreffende systemen te krijgen. Geef je wachtwoord dus niet aan derden, een collega of je teamleider/manager, en bewaar ze op een veilige plek, dus niet in je agenda of een geel briefje op je beeldscherm. 3. Geheimhoudingsplicht Binnen de gemeente wordt veel met persoonsgegevens gewerkt. In verschillende wetten staan geheimhoudingsbepalingen die inhouden dat je persoonsgegevens niet verder bekend mag maken dan voor de uitoefening van je functie noodzakelijk is. 4. Gegevensverstrekking aan derden via de telefoon Het uitgangspunt is dat wij telefonisch geen informatie over personen verstrekken. Ook niet aan personen of instanties die zeggen namens iemand te bellen. Als per mail persoonsgegevens verzonden worden, dan wordt Cryptshare gebruikt. 5. Clean desk / clear screen Vertrouwelijke omgang met persoonsgegevens houdt in dat iedere werkplek zodanig is ingericht dat onbevoegden tijdens jouw afwezigheid niet aan deze gegevens kunnen komen. 6. Geen vertrouwelijke gegevens in de prullenbak Het vernietigen van vertrouwelijke gegevens moet op een veilige manier plaatsvinden. Daarom zijn er speciale papierbakken aanwezig. Beter is nog deze gegevens in de shredder te vernietigen. Maak gebruik van deze bakken en de shredder, gooi geen vertrouwelijke gegevens in de prullenbak! 7. Aanspreken van onbekende personen Spreek personen die niet bevoegd zijn zich in de werkruimtes te bevinden aan, en begeleid ze naar de publieke ruimte. 8. Melden van beveiligingsincidenten Beveiligingsincidenten, zoals een virusmelding, een (poging tot) inbraak of een deur die niet op slot is moeten zo snel mogelijk gemeld worden bij de systeembeheerders of de huismeester. Datalekken worden gemeld bij het responseteam Informatiebeveiliging. 9. Haast, stress, werkdrukte versus informatiebeveiliging Informatiebeveiliging kost energie en werkt vaak tegen je als je haast hebt en de werkdruk hoog is. Informatiebeveiliging is uitermate belangrijk voor je werk binnen de DDFK-organisatie en hoort bij een professionele en bekwame uitvoering van je werk. Neem informatiebeveiliging daarom serieus: je klanten vertrouwen erop! Het nieuwe werken, flexibel werken Binnen Zorg&Ondersteuning is het van essentieel belang om op een correcte wijze om te gaan met vertrouwelijke gegevens, waaronder persoonsgegevens. Tevens is dit een belangrijk aandachtspunt voor het thuiswerken. Dit betekent dat dossiers (zowel papier als digitaal) niet mee naar huis gaan en er thuis geen Suwinet-raadplegen gedaan worden.