BASELINETOETS BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Baselinetoets BIG Versienummer 1..1 Versiedatum 12 maart 218 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 218 Informatiebeveiligingsdienst voor gemeenten (IBD) Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. De IBD wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. Wijzigingshistorie: Versie Datum Wijziging / Actie 1 96214 Initiële versie 1.1 25216 Aanpassingen in verband met Meldplicht Datalekken (Wbp) en wijzigingsvoorstellen gemeente Amsterdam 1.2 2411216 Aanpassingen met wijzigingen van de baselinetoets BIG in Excel formaat en input van gemeenten. 1. 151217 Aanpassen privacy vragen in lijn brengen met de AVG werkgroep, review door expertgroep en verwerkt. Verder in lijn gebracht met de spreadsheet versie van deze baselinetoets BIG. 1..1 12218 Enkele tekstuele verbeteringen op basis van opmerkingen van gemeenten, de berekening van beschikbaarheid was te streng, men kwam onterecht te snel op een Risicoanalyse uit in de spreadsheet. 2 Informatiebeveiligingsdienst
Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale Computer Emergency Response Team (CERT) en Computer Security Incident Response Team (CSIRT) voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. De IBD is ondergebracht bij VNG Realisatie. Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van dit document is het leveren van een aanpak die gebruikt kan worden om voor nieuwe processen en systemen een methode te hebben om te bepalen of de BIG afdoende is of niet. Tevens kan deze aanpak ook gebruikt worden om bij een bestaand proces en onderliggend informatiesysteem vast te stellen of de BIGmaatregelen voldoende zijn om het systeem/proces te beveiligen. Doelgroep Dit document is van belang voor het management van de gemeente, de systeemeigenaren, proceseigenaren, applicatiebeheerders en de ICTafdeling/organisatie. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Handreiking Dataclassificatie Privacy Impact Assessment (PIA) gemeenten Diepgaande Risicoanalysemethode gemeenten GAPanalyse Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1.8.5.1 Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, backup en in voorkomend geval Clouddiensten. 15.1.4.1 De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen Informatiebeveiligingsdienst
1 Inhoud BASELINETOETS BIG... 1 COLOFON... 2 OVER DE IBD... LEESWIJZER... 1 DE BASELINETOETS BIG... 5 1.1. BELANG PROCES... 9 INHOUDSOPGAVE... 12 2 MANAGEMENT SAMENVATTING... 1 INLEIDING... 14.1. PROCES... 14 4 VRAGENLIJST PROCES... 15 5 VRAGENLIJST BESCHIKBAARHEID, INTEGRITEIT EN VERTROUWELIJKHEID (BIV)... 18 5.1. VRAGENLIJST BESCHIKBAARHEID... 18 5.2. VRAGENLIJST INTEGRITEIT... 21 5.. VRAGENLIJST VERTROUWELIJKHEID... 2 6 VRAGENLIJST PERSOONSGEGEVENS... 25 7 ANALYSE EN ADVIES... 29 7.1. ANALYSE BIV... 29 7.2. ANALYSE PERSOONSGEGEVENS... 1 7.. ADVIES... 2 4 Informatiebeveiligingsdienst
1 De baselinetoets BIG Informatie wordt beschouwd als een van de kritieke ingrediënten voor succesvolle bedrijfsvoering. Het ontberen van informatie, verminking of uitlekken van informatie aan onbevoegden, kan ernstige negatieve effecten hebben op bijna alle bedrijfsprocessen. Het resultaat van deze baselinetoets BIG is bedoeld voor lijn en procesmanagers die resultaatverantwoordelijkheid dragen. Deze managers hebben belang bij de juiste kwaliteit c.q. betrouwbaarheid van het proces, het informatiesysteem en de bijbehorende informatie. Daarbij hebben ze ook belang bij zo min mogelijk verstoring van het proces en zoveel mogelijk zekerheid omtrent het verloop van het proces en de kwaliteit van de informatievoorziening. De baselinetoets BIG bestaat uit een aantal korte vragenlijsten en een methode om het belang van processen te bepalen. De lijn/ proceseigenaar is verantwoordelijk voor de uitvoering van de baselinetoets BIG. Bij het invullen kan de functionaris gegevensbescherming/ privacycoördinator en/of de CISO van de gemeente of dienst worden ingeschakeld. Als de gemeente deze functionarissen niet heeft, dient een informatiemanager te worden betrokken. De baselinetoets BIG maakt onverkort deel uit van de producten die tijdens de verkenningsfase van een project moeten worden opgeleverd en dient te allen tijde in kopie te worden verzonden aan de CISO van de gemeente 1. Deze baselinetoets BIG is ook als spreadsheet beschikbaar. Het beschermingsniveau wordt uitgedrukt in niveaus voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie: Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden. De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel. Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut. Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim. Samenhang baselinetoets BIG en diepgaande risicoanalyse Deze baselinetoets BIG heeft een samenhang met de diepgaande risicoanalyse, beide zijn aanvullend aan elkaar. De betrouwbaarheidseisen uit de baselinetoets BIG zijn bepalend aan of er een diepgaande risicoanalyse uitgevoerd moet worden. Als eerste stap, om te toetsen of een proces en onderliggend informatiesysteem voldoende beveiligd wordt door de maatregelen uit de BIG, dient deze baselinetoets BIG uitgevoerd te worden. De resultaten van deze baselinetoets BIG dienen ook weer gebruikt worden bij de diepgaande risicoanalyse. 1 Of vergelijkbare functionaris als er nog geen CISO is binnen de gemeente. Informatiebeveiligingsdienst 5
De antwoorden op de vragen worden gewaardeerd met een cijfer. Op basis van het totaal van de antwoorden wordt duidelijk of de standaard beveiliging (BIG) voldoende is, of dat er een aanvullend onderzoek (diepgaande risicoanalyse) of een PIA (Privacy Impact Assessment) nodig is Privacy Impact Assessment Een bijzondere categorie van data zijn persoonsgegevens. Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp), en de Algemene Verordening Gegevensbescherming (AVG) welke vanaf 25 mei 218 effectief wordt, geven aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Wilt u als gemeente privacyrisico s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld brengen? Dan kunt u onder de huidige regels van de Wbp een Privacy Impact Assessment (PIA) (laten) uitvoeren. Onder de AVG is in veel gevallen de PIA een verplicht instrument, de Autoriteit Persoonsgegeven (AP) heeft hiervoor samen met andere Europese toezichthouders in Werkgroep 29 (WG29) PIA criteria opgesteld, welke voor gemeenten in de baselinetoets BIG zijn verwerkt. 2 De PIA legt in de eerste plaats de risico s bloot van projecten die te maken hebben met privacy en dragen bij aan het vermijden of verminderen van deze privacyrisico s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit is. De PIA doet dit door op gestructureerde wijze: de mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen; en de risico s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren. Op basis van de uitkomsten van de PIA kunt u gericht acties ondernemen om deze risico s te verminderen. De PIA is een onmisbaar hulpmiddel voor organisaties om de privacyimpact van hun projecten te evalueren. Door het gebruik van de PIA kan bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming over een project. 2 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avgnieuweeuropeseprivacywetgeving/dataprotectionimpactassessmentdpia#inwelkegevallenmoetikeendpiauitvoeren5879 Zie hiervoor het operationele BIG document Toelichting PIA van de IBD. 6 Informatiebeveiligingsdienst
Onder de AVG is een wettelijk identificatienummer geen bijzonder persoonsgegeven meer zoals dat wel onder de Wbp het geval was. Er zullen waarschijnlijk nadere. Wbp / Meldplicht Datalekken en de AVG Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wbp zijn vanaf 1 januari 216 en na 25 mei 218 op grond van de AVG verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens (AP). 4 De AP heeft beleidsregels over deze Meldplicht Datalekken gepubliceerd. 5 Vanaf 25 mei 218 is de algemene verordening gegevensbescherming (AVG) van toepassing en gaan er ook anders geformuleerde regels gelden om vast te stellen of een PIA had moeten worden uitgevoerd. 6 Deze baselinetoets BIG is hierop aangepast. Gebruik van de baselinetoets BIG Deze baselinetoets BIG kan op twee manieren worden gebruikt: Om te bepalen of een proces, informatiesysteem en/of informatie binnen de BIG valt, of meer maatregelen nodig heeft, nadat de GAPanalyse en impactanalyse ten opzichte van de BIG gemeentebreed is uitgevoerd. De uitkomsten kunnen dan worden gebruikt om te bepalen of er meer maatregelen nodig zijn voor een proces en onderliggende informatiesystemen. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen bovenop de BIG, of door een diepgaande risicoanalyse. Om in de fase voor het starten van een project of voor een nieuw informatiesysteem, deze baselinetoets BIG op te laten stellen door de proces verantwoordelijke. De vragenlijst vormt dan input voor de te nemen additionele beveiligingsmaatregelen, welke in de definitiefase van het project nader worden uitgewerkt. Bijvoorbeeld door middel van een diepgaande risicoanalyse. Het resultaat van de baselinetoets BIG kan duiden op een zwaartepunt in het te beschermen belang, er is bijvoorbeeld een hogere score voor Beschikbaarheid, maar niet op Integriteit en Vertrouwelijkheid. In de daarna uit te voeren diepgaande risicoanalyse dient dan de nadruk te liggen op Beschikbaarheid. Huidige situatie De baselinetoets BIG is een moment opname van de huidige situatie. Wat er in de toekomst gaat veranderen wordt dan ook niet meegenomen in de huidige analyse. Mocht in de toekomst de situatie veranderen dan dient de baselinetoets BIG opnieuw tegen het licht gehouden worden. Bijvoorbeeld: Als er in de toekomstige situatie nieuwe wet of regelgeving in werking treedt. Als in de toekomstige situatie meer (keten)partners worden aangesloten. Als er voor dezelfde doelen in de toekomstige situatie meer (persoons)gegevens worden verzameld. Bij grote proces en/of systeemwijzigingen. 4 Zie hiervoor ook de leaflet Meldplicht Datalekken van de IBD. 5 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf 6 Zie ook het ondersteuningsaanbod van VNG Realisatie op het gebied van privacy voor meer informatie over de AVG: https://www.vngrealisatie.nl/privacy Informatiebeveiligingsdienst 7
ls de BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) waarden worden overschreden dient een diepgaande risicoanalyse uitgevoerd te worden. Bovenstaande plaat geeft de samenhang weer als de PIA in een project wordt toegepast. In de verkenningsfase wordt de baselinetoets BIG uitgevoerd. Het resultaat van de baselinetoets BIG geeft uitslag over het feit of de BIG voldoende maatregelen bevat voor het te beschermen belang, of niet. In het laatste geval moet een diepgaande risicoanalyse uitgevoerd worden. De maatregelen uit de diepgaande risicoanalyse dienen te worden toegevoegd aan de BIG maatregelen voor zover deze nog niet in de BIG staan. Ook zegt de baselinetoets BIG of er in de verkenningsfase van een project een PIA uitgevoerd moet worden. 7 Als er veel onduidelijk is in de verkenningsfase kan de baselinetoets BIG herhaald worden in de definitiefase. Als het proces en de informatievoorziening grote wijzigingen ondergaan in de productfase dient opnieuw een baselinetoets BIG te worden uitgevoerd. Uitgevoerde baselinetoetsen BIG, diepgaande risicoanalyses en/of PIA s maken onderdeel uit van het systeem dossier en moeten worden bewaard zo lang als het informatiesysteem in gebruik is. 7 Zie ook de Algemene Verordening Gegevensbescherming, artikel 5 Gegevensbeschermingseffectbeoordeling 8 Informatiebeveiligingsdienst
1.1. Belang proces Het bepalen van het belang van het proces (en de ondersteunende systemen) gebeurt, door na te gaan hoe groot de schade is die kan ontstaan als het betreffende betrouwbaarheidsaspect (Beschikbaarheid, Integriteit of Vertrouwelijkheid) niet in orde is. Het toekennen van waarden (per betrouwbaarheidsaspect) is specifiek voor de dienst en/of het betreffende verantwoordelijkheidsgebied. Invalshoeken om tot een waardebepaling te komen zijn bijvoorbeeld: Persoonlijke veiligheid Bijvoorbeeld: Wordt de veiligheid van personen bedreigd als gegevens niet beschikbaar zijn, een systeem uitvalt, of als er verkeerde informatie wordt verstrekt? Zo ja, hoe ernstig zijn de gevolgen? Persoonsgegevens Bijvoorbeeld: Wordt de persoonlijke levenssfeer van een persoon of een groep personen aangetast, of wordt er inbreuk gemaakt op een wet of regelgeving als gegevens over personen in handen vallen van ongeautoriseerde personen? Zijn die gegevens versleuteld of niet? Hoe ernstig is de mate van ongemak voor een persoon of een groep personen? Wordt er gebruik gemaakt van bijzondere persoonsgegevens? Wettelijke en reglementaire verplichtingen Bijvoorbeeld: Kan er strafrechtelijk vervolgd worden of worden er civiele procedures aangespannen resulterend in, het moeten betalen van boetes of schadevergoedingen als niet voldaan wordt aan wettelijke of reglementaire verplichtingen, doordat informatie of een systeem niet beschikbaar is? Hoe hoog zijn de boetes of schadevergoedingen? Rechtshandhaving Bijvoorbeeld: Worden overtredingen of misdaden makkelijker als er een systeem uitvalt of als er door een systeem onjuiste of verouderde informatie wordt verstrekt? Hoe ernstig zijn deze consequenties? Economische belangen Bijvoorbeeld: Worden commerciële of economische belangen van de dienst, de gemeente of van derden geschaad als vertrouwelijke informatie bij ongeautoriseerde personen terecht komt? Hoe groot is de schade die kan ontstaan? Financieel verlies/verstoring van activiteiten Bijvoorbeeld: Lijdt de organisatie directe of indirecte financiële schade als informatie niet beschikbaar is, of als er een systeem uitvalt? Hoe groot bedraagt de schade? Openbare orde Bijvoorbeeld: Veroorzaakt het niet goed functioneren van een systeem protesten, demonstraties of acties? 8 Gaat het om groepen burgers of enkele? Blijft dit beperkt tot lokaal protest, of komt de openbare orde door demonstraties in gevaar? Beleid en werking van de openbare dienstverlening Bijvoorbeeld: Wordt de openbare dienstverlening belemmerd als een systeem uitvalt? Hoe ernstig is dit? Bijvoorbeeld, de publieksbalies kunnen niet werken door systeemuitval of de gemeentewerf kan niet openen door systeemstoringen. Kan dit weer leiden tot verstoring van de openbare orde? Imagoschade Bijvoorbeeld: Kan het uitvallen van systemen of in de openbaarheid komen van informatie, leiden tot negatieve publiciteit waardoor de betrekkingen met het publiek of andere organisaties schade lijden? Hoe ernstig is dit voor de organisatie? Politieke schade Alle voorgaande invalshoeken kunnen uiteindelijk tot gevolg hebben dat raadsvragen gesteld worden met als resultaat het opstappen van wethouders. Dit kan door een hoge boete, bijvoorbeeld voor het lekken van persoonsinformatie. 8 Bijvoorbeeld het systeem voor de persoonsgebonden budgetten (pgb's). Zie hiervoor onder andere http://www.bnr.nl/nieuws/5824151/pgbhouderskrijgennogsteedsnietoptijduitbetaald Informatiebeveiligingsdienst 9
Concept Versie.1 <datum> Baselinetoets BIG Logo Gemeente <gemeente> Baselinetoets Informatiebeveiliging en Privacy <Sjabloon> <Gemeente / dienst / afdeling> <projectnaam> Datum: Projectnummer: Projectleider: Opdrachtgever: Versie: Opsteller: Functie: Validatie door: Functie: 1 Informatiebeveiligingsdienst
Versiebeheer Versies Versie Datum Auteur Samenvatting van de wijzigingen.1.x Goedkeuring Versie Datum Naam Business owner / proceseigenaar <zelf aanvullen> Ter informatie aan Versie Datum Naam CISO Privacybescherming en Informatiebeveiliging FG <zelf aanvullen> Voor opmerkingen met betrekking tot deze baselinetoets BIG kunt u zich wenden tot de CISO van de gemeente <gemeente> Informatiebeveiligingsdienst 11
Inhoudsopgave 1 DE BASELINETOETS BIG... 5 1.1. BELANG PROCES... 9 2 MANAGEMENT SAMENVATTING... 1 INLEIDING... 14.1. PROCES... 14 4 VRAGENLIJST PROCES... 15 5 VRAGENLIJST BESCHIKBAARHEID, INTEGRITEIT EN VERTROUWELIJKHEID (BIV)... 18 5.1. VRAGENLIJST BESCHIKBAARHEID... 18 5.2. VRAGENLIJST INTEGRITEIT... 21 5.. VRAGENLIJST VERTROUWELIJKHEID... 2 6 VRAGENLIJST PERSOONSGEGEVENS... 25 7 ANALYSE EN ADVIES... 29 7.1. ANALYSE BIV... 29 7.2. ANALYSE PERSOONSGEGEVENS... 1 7.. ADVIES... 2 12 Informatiebeveiligingsdienst
2 Management samenvatting <In te vullen na analyse met een korte samenvatting van beschikbaarheidseisen, integriteitseisen en vertrouwelijkheidseisen en advies.> Het niveau van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) bevindt zich op de volgende (BIV) waarden: Beschikbaarheid: Belangrijk (waarde = 1 in de gehanteerde Beschikbaarheidsschaal). Integriteit: Hoog (waarde = 2 in de gehanteerde Integriteitsschaal) Vertrouwelijkheid: Vertrouwelijk (waarde =2 in de gehanteerde Vertrouwelijksheidsschaal) De resultaten van deze baselinetoets BIG worden vertaald naar de bedrijfsproces BIVclassificatie op een schaal van tot (van laag naar hoog) conform de BIG. <Gebruik voor een verklaring van de resultaten, de waardes van de BIV waardering, de verklarende toelichting uit het operationele BIG document Handreiking Dataclassificatie of paragraaf 7.1 uit dit document. Dat maakt het advies leesbaarder en begrijpelijker voor niet informatiebeveiligers.> Informatiebeveiligingsdienst 1
Inleiding <In te vullen door de invuller, waarom wordt deze baselinetoets BIG uitgevoerd, door wie, wie is benaderd et cetera.>.1. Proces <Korte samenvatting van het proces of project (in geval van een projectvoorstel): Indien het proces wordt ingericht middels een proces dient te worden verwezen naar een eventueel aanwezige Programma Start Architectuur (PSA) en het projectvoorstel; Deze samenvatting mag niet langer dan een A4 beslaan; Deze samenvatting wordt afgesloten met het advies op Beschikbaarheid, Integriteit, Vertrouwelijkheid en de bescherming van persoonsgegevens; Deze samenvatting dient te bevatten een weergave van de gegevensset en (de werking van) de ondersteunende informatievoorziening voor deze al bekend zijn. Opnemen van een processchets> 14 Informatiebeveiligingsdienst
4 Vragenlijst Proces Onderstaande vragen dienen verplicht en zo volledig mogelijk ingevuld te worden zodat in het vervolg een goede inschatting gemaakt kan worden bij de Beschikbaarheids, Integriteits, Vertrouwelijkheids en Persoonsgegevens vragen. 4.1 Naam en functie geïnterviewde <Interview met proces (business) eigenaar en bij een groepssessie, meerdere namen benoemen en hun rol.> 4.2 Naam en functie proces <Om welk proces gaat het, wat is het doel?> 4. Geef een bondige beschrijving van het proces/processen en benoem de proceseigenaar. <Alle hoofdprocessen benoemen> <Let op: bij meerdere proceseigenaren, alle betrokken proceseigenaren interviewen> <Let op: Geef ook aan of het proces of de subprocessen 24/7 dienstverlening betreft of dat er in bepaalde perioden hoge beschikbaarheid nodig is (jaar, maand et cetera)> 4.4 Maakt het proces/de processen deel uit van een keten/meerdere ketens? Zo ja beschrijf de keten/ketens Wat is (zijn) de keten(s): Wat is (zijn) de ketenpartner(s): <Met ketenpartners worden zowel de binnengemeentelijke als buitengemeentelijke ketenpartners bedoeld.> 4.5 Welke eventuele subprocessen zijn te onderscheiden? Welke hoofdactiviteiten worden binnen het proces uitgevoerd en wie doen dat? 4.6 Welke informatie wordt er gebruikt binnen het proces en eventuele subprocessen? Geef ook aan welke soort persoonsgegevens gebruikt worden. <Vermeld hier welke gegevens worden verzameld/verwerkt binnen het proces, probeer zo volledig mogelijk te zijn.> Gegevens: <Bijvoorbeeld financiële gegevens.> Persoonsgegevens: Informatiebeveiligingsdienst 15
<Bijvoorbeeld naam, adres en woonplaats, telefoonnummers of postcodes met huisnummers.> Bijzondere persoonsgegevens: <Bijvoorbeeld burgerservicenummer (BSN) 9, godsdienst of levensovertuiging, ras, politieke gezindheid, medische gegevens, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke/justitiële persoonsgegevens.> 4.7 Beschrijf welke afnemers het proces heeft. Welke producten nemen zij af en welke kwaliteitseisen stellen zij aan deze producten? 4.8 Beschrijf welke leveranciers het proces heeft. Welke producten leveren zij aan en welke eisen stellen zij aan de verwerking in het te onderzoeken proces? 4.9 Welke wet en regelgeving is van toepassing op dit proces en welke specifieke eisen komen hieruit naar voren? Op dit informatiesysteem is de onderstaande wet en regelgeving op het gebied van Informatiebeveiliging en Privacy van toepassing 1 : <Wet Bescherming Persoonsgegevens (Wbp) Algemene Verordening Gegevensbescherming (AVG) Wet Basisregistratie Personen (BRP) Archiefwet SUWIwet Et cetera (aanvullen)> 4.1 Door welke systeem wordt het proces ondersteund? <Alleen invullen indien bekend.> Naam + werking (voor zover bekend) invullen 4.11 (beoogd) Eigenaar (informatie) systeem <Let op: eigenaar moet in deze fase bekend zijn, of benoemd worden.> 9 Strikt genomen is het BSN onder de AVG geen bijzonder persoonsgegeven meer, het verdient wel aandacht, zie hiervoor de website van de AP. 1 Aangeven welke wet en regelgeving van toepassing is. 16 Informatiebeveiligingsdienst
Informatiebeveiligingsdienst 17
5 Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) 5.1. Vragenlijst Beschikbaarheid Beschikbaarheid stelt in tegenstelling tot integriteit en vertrouwelijkheid geen eisen aan de inhoud van de data. Er gelden daarom geen bijzondere maatregelen voor authenticatie, autorisatie, monitoring en beveiliging, zoals voor integriteit en vertrouwelijkheid (zie volgende paragrafen). Aangezien de normen voor beschikbaarheid verschillen per proces moet het classificatieniveau voor beschikbaarheid altijd worden gespecificeerd. Definitie Beschikbaarheid is gedefinieerd als 'eigenschappen van het geheel van ICTdiensten, systemen, componenten en gegevensdragers die van invloed zijn op de tijd dat het proces (en daarmee de informatie) beschikbaar is voor de geautoriseerde gebruiker, op de momenten dat het beschikbaar moet zijn'. Beschikbaarheid wordt gemeten aan de hand van de Mean Time Between Failures (MTBF). Dit is de gemiddelde tijd tussen het herstel van het ene incident en het optreden van het volgende incident. Vragen beschikbaarheid In het kader van beschikbaarheid is het goed te kijken naar hoe groot de schade is die ontstaat bij een bepaalde uitvalduur. a. Welke groep gebruikers wordt getroffen door uitval van het informatiebedrijfsmiddel? En hoe groot is die groep? Wat is naar schatting het aantal gelijktijdige gebruikers in het informatiebedrijfsmiddel? b. Wat moeten de openstellingstijden voor het informatiebedrijfsmiddel zijn? Welk beschikbaarheidspercentage is dan wenselijk? c. Welke frequentie van systeemuitval wordt nog als acceptabel ervaren? (per maand / kwartaal / jaar) d. Is er een continuïteitsplan voor het informatiebedrijfsmiddel? e. Is er sprake van kritieke uitval momenten? (denk bijv. aan salarisadministratie aan het eind van de maand, peildatum rapportages, verkiezingen, openingstijden, calamiteiten) f. Maximaal toegestane down time? Invulinstructie Bij beschikbaarheid is het van belang om bij verschillende uitvalstermijnen de schade te weten. Daarom dient per regel, dus per beschikbaarheidsvraag, in iedere kolom een schade waarderingscijfer (bijvoorbeeld, 1, 2 of ) te worden aangegeven. Tevens dient hierbij een onderbouwing te worden gegeven waarom gekozen is voor de betreffende waarderingscijfers. Gevolgen van het niet beschikbaar hebben van de benodigde informatie of gegevens. (in het ergste geval) Waardering (uur, dag, week, maand) Argumentatie (verplicht invullen) 1 1 1 1 u d w m B1 Besluitvorming: De waardering moet ingevuld Na welke tijdsduur is het ontbreken worden voor alle tijdseenheden en van informatie nadelig voor het met een waarde van tot en met nemen van management, zie waarderingsschaal onderaan beslissingen? B2 Imagoverlies Hoe lang duurt het voordat er sprake is van imagoverlies wanneer informatie niet voorhanden is? 18 Informatiebeveiligingsdienst
Gevolgen van het niet beschikbaar hebben van de benodigde informatie of gegevens. (in het ergste geval) Waardering (uur, dag, week, maand) Argumentatie (verplicht invullen) 1 1 1 1 u d w m B Hapering dienstverlening <Dataverlies (RecoveryPoint Hoe lang kan het systeem c.q. de Objective (RPO)) en hersteltijd informatie niet beschikbaar zijn (RecoveryTime Objective (RTO)) voordat er haperingen in het proces zijn doelstellingen die een optreden welke de dienstverlening belangrijke rol spelen bij disaster aan recovery. 11 burgers/bedrijven/ketenpartners oeveel dataverlies (RPO) is raakt? acceptabel en binnen welke tijdsperiode (RTO) moet de dienstverlening weer hersteld zijn? Deze vraag heeft betrekking op de ongeplande downtime (RTO). Vraag B7 heeft betrekking op het dataverlies (RPO).> B4 Wettelijke aansprakelijkheid: Hoe lang kan het systeem c.q. de informatie niet beschikbaar zijn voordat er wettelijke of contractuele verplichtingen niet kunnen worden nagekomen? B5 Additionele kosten: Na welke periode zijn additionele kosten voor de organisatie te verwachten, bij het niet beschikbaar zijn van het systeem of de informatie? B6 Moreel van de medewerkers: Na welke periode is er sprake van een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers 12, wanneer systeem en de informatiestroom hapert? 11 https://nl.wikipedia.org/wiki/recovery_time_objective 12 Denk hierbij onder andere aan gemeentelijke publieksfuncties, zoals balie en loketmedewerkers. Informatiebeveiligingsdienst 19
Gevolgen van het niet beschikbaar hebben van de benodigde informatie of gegevens. (in het ergste geval) Waardering (uur, dag, week, maand) Argumentatie (verplicht invullen) 1 1 1 1 u d w m B7 Herstel: <Dataverlies (RecoveryPoint Hoe lang mag het herstellen na een Objective (RPO)) en hersteltijd onbeschikbaarheid van informatie (RecoveryTime Objective (RTO)) duren voordat er daadwerkelijk zijn doelstellingen die een hapering in de dienstverlening aan belangrijke rol spelen bij disaster burgers/bedrijven/ketenpartners recovery. ontstaat? Zijn er hoge Hoeveel dataverlies (RPO) is herstelkosten? Dus achteraf acceptabel en binnen welke verwerken van verloren gegaan tijdsperiode (RTO) moet de werk. Denk ook aan: het herstellen dienstverlening weer hersteld zijn? van verloren gegaan werk Deze vraag heeft betrekking op het dataverlies (RPO).> Vraag B heeft betrekking op de hersteltijd (RTO). Wat is de meest serieuze impact als het proces onbeschikbaar is? Wat is overall de meest serieuze impact als het proces onbeschikbaar is? (som van alle waarden) <Neem de hoogste score, per kolom, over van bovenstaande ingevulde impact waarderingen.> <Neem de hoogste score over van bovenstaande ingevulde impact typeringen.> Deze score geeft de rating van het onderdeel B van de BIV rating aan. Beheersmaatregelen moeten op dit niveau acteren. = Essentieel Het systeem c.q. informatievoorziening mag alleen in zeer uitzonderlijke situaties uitvallen, bijvoorbeeld als gevolg van een calamiteit, het proces staat eigenlijk geen uitval toe. De continuïteit zal zeer snel moeten worden hervat. 2 = Noodzakelijk Het systeem c.q. informatievoorziening mag bijna nooit uitvallen, het proces staat nauwelijks uitval toe. De continuïteit zal snel moeten worden hervat. Schending van deze classificatie kan serieuze (in)directe schade toebrengen. 1 = Belangrijk Het systeem c.q. informatievoorziening mag incidenteel uitvallen, het proces staat incidentele uitval toe. De continuïteit zal op redelijke termijn moeten worden hervat. Schending van deze classificatie kan enige (in)directe schade toebrengen. =Niet nodig Het systeem c.q. informatievoorziening kan zonder gevolgen langere tijd niet beschikbaar zijn. 2 Informatiebeveiligingsdienst
5.2. Vragenlijst Integriteit Het onderwerp integriteit valt normaliter in twee delen uiteen: de integriteit van datacommunicatie en opslag enerzijds (dat wil zeggen niet gerelateerd aan het (gemeentelijke) proces zelf), en de integriteit van de informatie in het systeem fysiek (dat wil zeggen gerelateerd aan het proces zelf). Integriteit gekoppeld aan het systeem is altijd situatie afhankelijk en afhankelijk van de eisen van het proces. Voor de functionele integriteit van het proces wordt een minimale set van normen opgesteld waarbij er per systeem nadere afspraken gemaakt kunnen worden. Definitie Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en tijdigheid van de transacties. Vragen integriteit In het kader van integriteit is het van belang te beoordelen wat de gevolgen kunnen zijn van fouten in gegevens. Dit geldt zowel voor opzettelijke fouten (of fraude) als onopzettelijke fouten. Gaat het bij vertrouwelijkheid om de vraag of een ander het gegeven mag zien, bij integriteit gaat het erom of de ander het gegeven mag muteren. Kernbegrippen zijn juistheid en volledigheid. a. Vormen de gegevens in het informatiemiddel de basis voor besluitvorming? b. Welke bewaartermijnen zijn van toepassing? (archiefwet, fiscale wetgeving,...) c. Wordt er systematisch gecontroleerd op juistheid en volledigheid? d. Vanaf welk soort werkplekken moeten gegevens beschikbaar zijn? (altijd en overal, thuis, onderwijslokalen, personeelswerkplek) e. Kan een gebruiker onrechtmatig voordeel behalen door een gegeven opzettelijk te veranderen? (fraude te plegen) f. Maximaal toegestaan dataverlies na uitval? Gevolgen van fouten in informatie of doelbewuste manipulatie van informatie om te frauderen of fraude te maskeren (in het ergste geval) Waardering Argumentatie (verplicht invullen) I1 I2 I I4 I5 Managementbeslissingen: Kan onjuiste informatie leiden tot onjuiste beslissingen? Wat zijn de gevolgen? Fraude potentie: Zijn er frauderisico s, en welke gevolgen hebben deze? Onderbreking van het proces: In hoeverre wordt het proces onderbroken als gevolg van ongeautoriseerde wijzigingen van, of fouten in de informatie? Vertrouwen van het publiek c.q. klanten: Kan het vertrouwen van het publiek geschaad worden door onjuiste informatie welke in het proces wordt verwerkt? Wettelijke aansprakelijkheid: Wat kunnen de gevolgen zijn van het niet voldoen aan wettelijke of contractuele verplichtingen die veroorzaakt worden door onjuiste informatie welke in het proces wordt verwerkt? 2 1 <Kies 1 (één) van de waardes per rij!> 2 1 2 1 2 1 2 1 Informatiebeveiligingsdienst 21
Gevolgen van fouten in informatie of doelbewuste manipulatie van informatie om te frauderen of fraude te maskeren (in het ergste geval) Waardering Argumentatie (verplicht invullen) I6 I7 Additionele kosten: In hoeverre kunnen er additionele kosten ontstaan door het verwerken van onjuiste informatie in het proces? Bijvoorbeeld door het moeten herstellen van een corrupte database of opnieuw invoeren van gegevens. Moreel van de medewerkers: Wat zijn de schadelijke effecten op het moreel van medewerkers als er onjuiste informatie verwerkt in het proces 2 1 2 1 Hoogste waarde? De hoogste waarde geeft de BIV rating aan op het gebied van Integriteit. Totaal Integriteit: <Vermeld de hoogste waarde per kolom.> <Tel alle waarden uit alle kolommen op.> Absoluut: zeer ernstige schade: raadsvragen, kamervragen, reactie minister of wethouder vereist, belangrijke partners/klanten stellen professionaliteit van het rijk of de gemeentelijke dienst ter discussie. 2 = Hoog: ernstige schade: krantenkoppen, vragen van belangrijke partners/klanten, burgers budgettaire problemen. 1 = Beschermd: acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten. = Niet Zeker: Verwaarloosbare schade of niet van toepassing. 22 Informatiebeveiligingsdienst
5.. Vragenlijst Vertrouwelijkheid Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken. Vragen vertrouwelijkheid Om te bepalen óf en hoe vertrouwelijk informatie is, is het van belang te weten wat de bedrijfsproces consequenties zijn van ongeplande of ongeautoriseerde openbaarmaking of bekend worden van die informatie. Een speciale categorie vertrouwelijke gegevens zijn de persoonsgegevens. Vermeld per vraag of het ook persoonsgegeven betreft en vul dan ook hoofdstuk 6 Vragenlijst persoonsgegevens in. a. Bevat het informatiebedrijfsmiddel concurrentiegevoelige gegevens (Bijvoorbeeld tarievenopbouw, contracten)? b. Bevat het informatiebedrijfsmiddel informatie onder embargo? c. Bevat het informatiemiddel informatie die alleen voor een specifieke doelgroep beschikbaar mag zijn? (denk ook aan licentiebeperkingen) d. Bevat het informatiebedrijfsmiddel gegevens die gebruikt kunnen worden om fraude te plegen? (Bijvoorbeeld identiteitsfraude, creditcardnummers, wachtwoordbestanden) Gevolgen van onbedoelde of ongeautoriseerde verspreiding van gegevens of informatie (in het ergste geval) Waardering Argumentatie (verplicht invullen) V1 V2 V V4 V5 V6 V7 Vertrouwen van de burger: Wat zijn de gevolgen voor de gemeente indien de binnen het proces beschikbare informatie te vroeg c.q. niet volgens de regels verspreid wordt? Vertrouwen van het publiek: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie van de organisatie onterecht wordt verspreid? Ketensamenwerking: Kan de gemeente toegang tot de keten in het proces geweigerd worden? Vertrouwen van ketenpartners: Wat zijn de gevolgen voor de relatie met de ketenpartners, als vertrouwelijke informatie onterecht wordt verspreid.? (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden van deze informatie? Additionele kosten: In hoeverre is er sprake van additionele kosten door onterechte verspreiding van deze informatie? Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding van deze informatie? 2 1 2 1 2 1 2 1 2 1 2 1 2 1 <Kies 1 (één) van de waardes per rij!> Informatiebeveiligingsdienst 2
Gevolgen van onbedoelde of ongeautoriseerde verspreiding van gegevens of informatie (in het ergste geval) Hoogste waarde De hoogste waarde geeft de BIV rating aan op het gebied van Vertrouwelijkheid. Waardering Argumentatie (verplicht invullen) Totaal Vertrouwelijkheid: = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners /klanten stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers afnemers. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten. = verwaarloosbare schade of niet van toepassing. 24 Informatiebeveiligingsdienst
6 Vragenlijst persoonsgegevens Een speciale categorie vertrouwelijke gegevens zijn de persoonsgegevens. Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens. Bij de verwerking hiervan hebben we ons te houden aan de Wbp en na 25 mei 218 de AVG. Deze wetten geven aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. 1 Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Daarnaast zijn er zogenoemde bijzondere persoonsgegevens. Dit betreffen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, maar ook burgerservicenummer (BSN) 14 en bijvoorbeeld strafrechtelijke/justitiële persoonsgegevens. Deze zijn door de wetgever extra beschermd. Over de vragen: Zie AVG art 5 lid 5: De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen PIA is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité. De vragen over de verwerking van persoonsgegevens staan ook op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europeseprivacywetgeving/dataprotectionimpactassessmentdpia#inwelkegevallenmoetikeendpiauitvoeren5879 Als verantwoordelijke (in de AVG: verwerkingsverantwoordelijke genoemd) moet u een data protection impact assessment (DPIA) uitvoeren wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Dit moet u zelf bepalen. De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van 1 criteria opgesteld om u hierbij te helpen. Aan hoe meer criteria uw verwerking voldoet, hoe waarschijnlijker het is dat deze een hoog risico oplevert. Stel bij het beantwoorden van dit blok vragen eerst de volgende vraag: worden er wel persoonsgegevens verwerkt? zo nee, dan hoeft deze tabel niet te worden ingevuld, schrijf dan ook op dat dit zo is. 1 Gegevens die uitsluitend betrekking hebben op overleden personen zijn geen persoonsgegevens als bedoeld in de Wbp en de AVG, de overledene geniet derhalve geen bescherming krachtens deze wetten. Hebben deze gegevens echter eveneens betrekking op nog levende identificeerbare personen, bijvoorbeeld nabestaanden, en kunnen zijmede bepalend zijn voor de wijze waarop deze in het maatschappelijk verkeer worden beoordeeld of behandeld, dan zijn het wel persoonsgegevens en genieten de betrokken personen bescherming krachtens de Wbp. (https://zoek.officielebekendmakingen.nl/ahtk2241928.html) 14 Onder de AVG is het burgerservicenummer geen bijzonder persoonsgegeven, zie: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/blijfthetbsnstrakseenbijzonderpersoonsgegeven Informatiebeveiligingsdienst 25
6. Vragenlijst Persoonsgegevens Vragen Keuze Resultaat Argumentatie (verplicht invullen) P U hoeft geen data ja Ja = Het zou kunnen zijn dat de PIA niet nodig is protection impact Nee = omdat de AP gebruik gemaakt heeft van artikel assessment (PIA) uit te 5 lid 5. Ondanks dat is het toch raadzaam de voeren wanneer uw onderstaande vragen even na te lopen om te gegevensverwerking: bepalen of het niet toch beter is een PIA te doen. Waarschijnlijk geen hoog privacyrisico oplevert. Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd. Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de AP oordeelt dat er toch een DPIA nodig is. Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de AP de mogelijkheid om zo n lijst op te stellen, maar dit is niet verplicht. Wordt aan de bovenstaande punten voldaan? P1 Beoordelen van mensen nee Nee = <Uitleg> op basis van Ja = persoonskenmerken Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. 26 Informatiebeveiligingsdienst
6. Vragenlijst Persoonsgegevens P2 Geautomatiseerde nee Nee = <uitleg> beslissingen Ja = Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. P Stelselmatige en nee Nee = <uitleg> grootschalige monitoring Ja = Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. P4 Gevoelige gegevens nee Nee = <uitleg> Ja = Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG). P5 Grootschalige nee Nee = https://autoriteitpersoonsgegevens.nl/nl/onder gegevensverwerkingen Ja = werpen/europeseprivacywetgeving/algemene verordeninggegevensbescherming#watziet deavgalseengrootschaligeverwerkingvan persoonsgegevens619 P6 Gekoppelde databases nee Nee = <uitleg> Ja = Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. P7 Gegevens over kwetsbare nee Nee = <uitleg> personen Ja = Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de Informatiebeveiligingsdienst 27
6. Vragenlijst Persoonsgegevens verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. P8 Gebruik van nieuwe nee Nee = <Uitleg> technologieën Ja = De AVG is er duidelijk over dat een PIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico s. P9 Doorgifte van nee Nee = <uitleg> persoonsgegevens buiten Ja = de EU P1 De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Buiten de EU is het daarom niet zeker dat een land voldoende bescherming biedt. Blokkering van een recht, nee Nee = dienst of contract Ja = Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen een recht niet kunnen uitoefenen, dat zij een dienst niet kunnen gebruiken of dat zij een contract niet kunnen afsluiten. Totaal <uitleg> Totaal Persoonsgegevens (PP1): Tel de waardes van de gekozen antwoorden bij elkaar op, alle waardes groter of gelijk aan 6 betekenen dat een PIA moet worden gedaan. 28 Informatiebeveiligingsdienst
7 Analyse en advies 7.1. Analyse BIV Score Aantal scores Focus Risicoanalyse boven de baseline norm Beschikbaarheid (B1B7) <Vul de eindscore in> Hoger dan: 1 uur > 1 1 dag > 1 1 week > 2 1 maand > 2 Indien voor beschikbaarheid één of meer scores van B1B7 hoger is dan waarde 2 voor de periode week en maand en/of hoger is dan 1 voor de periode uur en dag en/of het totaal hoger is dan 42 punten voer dan als vervolgstap een diepgaande risicoanalyse uit en leg dan nadruk op beschikbaarheid. Integriteit (I1I7) <Vul de eindscore van de lijst in> # Hoger dan 2 Indien voor integriteit één of meer scores van I1I7 hoger is dan waarde 2 en/of het totaal hoger is dan 14 punten voer dan als vervolgstap een diepgaande risicoanalyse uit en leg dan nadruk op integriteit. Vertrouwelijkheid (V1V7) <Vul de eindscore van de lijst in> # Hoger dan 2 Indien voor vertrouwelijkheid één of meer scores van V1V7 hoger is dan waarde 2 en/of het totaal hoger is dan 14 punten voer dan als vervolgstap een diepgaande risicoanalyse uit en leg dan nadruk op vertrouwelijkheid. Indien één of meer scores hoger is dan de baselinescore dan aanvullend onderzoek. De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. Bij Beschikbaarheid aangeven of en hoe vaak er hoger is gescoord dan een één (2 of hoger) op de periode week en maand en/of hoger dan 1 gescoord op de periode uur en dag. Bij Integriteit aangeven of en hoe vaak er hoger is gescoord dan een twee (dat is een ) Bij Vertrouwelijkheid aangeven of en hoe vaak er hoger is gescoord dan een twee (dat is een ) Let op: Als er één of meerdere keren hoger is gescoord bij Beschikbaarheid (B) van een uur en/of een dag hoger dan 1 en/of bij de waarden voor week en / of maand hoger dan 2 en één of meerdere keren een drie () is gescoord bij of de Integriteit (I) en/of de Vertrouwelijkheid (V) en/of de Persoonsgegevens (P)waardering hoger dan 6, is verhoogd risico aanwezig. Op grond hiervan moet er, onafhankelijk van de rest van de scores, een diepgaande risicoanalyse uitgevoerd worden. De resultaten van deze baselinetoets BIG dienen als input voor de diepgaande risicoanalyse. Het niveau van de Baseline Informatiebeveiliging Nederlandse Gemeenten bevindt zich op de volgende (BIV) Informatiebeveiligingsdienst 29
waarden 15 : Beschikbaarheid: Belangrijk (waarde = 1 voor uur en dag) en/of noodzakelijk (waarde 2 voor week en maand) Integriteit: Hoog (waarde = 2 in de gehanteerde Integriteitsschaal) Vertrouwelijkheid: Vertrouwelijk (waarde =2 in de gehanteerde Vertrouwelijksheidsschaal) De onderscheiden niveaus van beschikbaarheid zijn: Waardering Omschrijving Niet nodig () Het systeem kunnen zonder gevolgen langere tijd niet beschikbaar zijn. Belangrijk (1) Het systeem mag incidenteel uitvallen, het proces staat incidentele uitval toe. De continuïteit zal op redelijke termijn moeten worden hervat. Schending van beschikbaarheid kan enige 16 (in)directe schade toebrengen. Noodzakelijk (2) Het systeem mag bijna nooit uitvallen, het proces staat nauwelijks uitval toe. De continuïteit zal snel moeten worden hervat. Schending van beschikbaarheid kan serieuze 17 (in)directe schade toebrengen. Essentieel () Het systeem mag alleen in zeer uitzonderlijke situaties uitvallen, bijvoorbeeld als gevolg van een calamiteit, het proces staat eigenlijk geen uitval toe. De continuïteit zal zeer snel moeten worden hervat. Schending van beschikbaarheid kan (zeer) grote 18 schade toebrengen. De onderscheiden niveaus van integriteit zijn: Waardering Omschrijving Niet zeker () Deze informatie mag worden veranderd. Geen extra bescherming van integriteit is noodzakelijk. Schending van integriteit heeft geen gevolgschade. Beschermd (1) Het proces dat gebruik maakt van deze informatie staat enkele (integriteits)fouten toe. Een basisniveau van beveiliging is noodzakelijk. Schending van integriteit kan enige (in )directe schade toebrengen. Hoog (2) Hetproces dat gebruik maakt van deze informatie staat zeer weinig (integriteits)fouten toe. Bescherming van integriteit is absoluut noodzakelijk. Schending van integriteit kan serieuze (in)directe schade toebrengen. Absoluut () Het proces dat gebruik maakt van deze informatie staat geen (integriteits)fouten toe. Schending van integriteit kan (zeer) grote schade toebrengen. De onderscheiden niveaus van vertrouwelijkheid zijn: Waardering Omschrijving Openbaar () Alle informatie die algemeen toegankelijk is voor iedereen. Er is geen schending van vertrouwelijkheid mogelijk. Bedrijfsvertrouwelijk (1) Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van vertrouwelijkheid kan enige (in)directe schade toebrengen. Vertrouwelijk (2) Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers 19. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van vertrouwelijkheid kan serieuze (in)directe schade toebrengen. Geheim () Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van vertrouwelijkheid kan zeer grote schade toebrengen. 15 Zie het operationele BIG document Handreiking Dataclassificatie. 16 Voor uitleg over enige zie bijlage 1 in dit document 17 Voor uitleg over serieuze zie bijlage 1 in dit document 18 Voor uitleg over zeer grote zie bijlage 1 in dit document 19 Denk hierbij aan een dienst of deelgemeente. Informatiebeveiligingsdienst
Vertaald naar de BIG betekenen de uitkomsten van deze baselinetoets BIG het volgende: Betrouwbaarheidsaspect Norm Beschikbaarheid 42 of minder = BIG en niet hoger dan 1 (één) op de waarden een uur of een dag en /of hoger dan een 2 (twee) op de waarden week of maand. Integriteit 14 of minder = BIG en nergens een op één van de vragen Vertrouwelijkheid 14 of minder = BIG en nergens een op één van de vragen Focus risicoanalyse Indien één of meer van de BIVwaarden hoger worden ingeschat dan het niveau van de BIG dan dient bij de vervolganalyse de focus op deze betreffende BIVaspecten worden gelegd. 7.2. Analyse Persoonsgegevens Persoonsgegevens (PP1) TOTAAL SCORE: score Aantal scores De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. In de Aantal scores kolom aangeven of binnen een bepaald aandachtsgebied een is gescoord. Indien twee of meer scores voor wat betreft de verwerking van persoonsgegevens een ja scoort (vraag P P1) dan dient u een Privacy Impact Assessment (PIA) uit te voeren en contact op te nemen met de CISO en FG of gelijkwaardige functionaris. Als aan een van onderstaande voorwaarden wordt voldaan is het advies om altijd een PIA uit te voeren. Is er sprake van het verwerken van een wettelijk identificatienummer (BSN) en is niet op voorhand helder of er sprake van een wettelijk doel of is het niet ter uitvoering van de betreffende wet. Is er sprake van het verwerken van bijzondere persoonsgegevens (godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging of strafrechtelijke persoonsgegevens of over onrechtmatig of hinderlijk gedrag) en is niet op voorhand helder of er sprake is van een wettelijke ontheffing van het verwerkingsverbod. Gaat het om een verwerking van persoonsgegevens in een complexe keten. Eindresultaat analyse in BIV rating Vereist Niveau Beschikbaarheid Integriteit Vertrouwelijkheid Persoonsgegevens Conclusie (basisniveau BIG voldoende j/n) Extra Maatregel (DRA/PIA)? Informatiebeveiligingsdienst 1
7.. Advies Advies kan zijn: De maatregelen uit de Baseline zijn voldoende voor de beveiliging van het onderzochte proces: er zijn geen aanvullende eisen of het bestaande systeem wordt voldoende beschermt door de BIG. of De maatregelen uit de Baseline zijn niet voldoende voor de beveiliging van het proces: er moet in de definitiefase van het project of voor het bestaande systeem alsnog een diepgaande risicoanalyse en/of Privacy Impact Assessment (PIA) uitgevoerd worden. Indien u één van de vragen P1P1 met ja heeft beantwoord neem dan contact op met de CISO, FG of gelijkwaardige functionaris van de gemeente voor nader advies over de uit te voeren PIA, een eventuele adviesaanvraag of de melding bij de AP. 2 Informatiebeveiligingsdienst
Kijk voor meer informatie op: www.ibdgemeenten.nl Nassaulaan 12 2514 JS Den Haag CERT: 7 7 8 11 (9: 17: ma vr) CERT 24x7: Piketnummer (instructies via voicemail) info@ibdgemeenten.nl / incident@ibdgemeenten.nl Informatiebeveiligingsdienst