Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Vergelijkbare documenten
In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Rapportage Informatiebeveiliging Deurne 2017

ECIB/U Lbr. 17/010

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Jaarverslag Informatiebeveiliging en Privacy

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatieveiligheidsbeleid

Format presentatie Kick-off

Collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet. Gemeente Gooise Meren

Privacy & online. 9iC9I

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Assurancerapport van de onafhankelijke IT-auditor

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Informatiebeveiliging in Súdwest-Fryslân

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

ENSIA voor informatieveiligheid

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

ECIB/U Lbr. 15/079

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Veranderingen privacy wet- en regelgeving

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Rekenkamercommissie Brummen

Algemeen privacybeleid gemeente Asten 2018

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Documentnummer: : Eindnotitie implementatie privacy

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Protocol Beveiligingsincidenten en datalekken

A2 PROCEDURE MELDEN DATALEKKEN

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Beleid en procedures meldpunt datalekken

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Welkom bij parallellijn 1 On the Move uur

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Raadsmededeling - Openbaar

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Rapportage Informatiebeveiliging 2018

Privacybeleid gemeente Wierden

Onderwerp Aanstellen functionaris gegevensbescherming en voorbereiding op de Algemene Verordening Gegevensbescherming

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

staat is om de AVG na te komen.

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Handleiding ENSIA-tool. voor gemeenten

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Verbeterplan Suwinet

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Handreiking Implementatie Specifiek Suwinetnormenkader

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Procedure meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken VSNON

ons kenmerk ECIB/U Lbr. 16/046

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Privacy is samenvattend te omschrijven als respect voor de persoonlijke levenssfeer van een individu.

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Privacy Maturity Scan (PMS)

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Collegevoorstel. Zaaknummer Nieuwe bewerkersovereenkomst IKZ en mandaat

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

checklist in 10 stappen voorbereid op de AVG. human forward.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Functieprofiel Functionaris Gegevensbescherming

Gegevensbeschermingsbeleid gemeente Beekdaelen

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

Protocol informatiebeveiligingsincidenten en datalekken

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Voorstel Informatiebeveiliging beleid Twente

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

informatiebeveiliging

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Rechtmatigheid, behoorlijkheid, transparantie Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Protocol beveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Transcriptie:

Collegevoorstel Aanleiding / voorgeschiedenis Op 7 november 2017 bent u geïnformeerd over de Baseline informatiebeveiliging Nederlandse gemeenten (BIG), de Algemene Verordening Gegevensbescherming (AVG) en de Eenduidige Normatiek, Single Information audit (ENSIA). U heeft toen besloten om voor het implementatietraject BIG, AVG en ENSIA de burgemeester als portefeuillehouder aan te wijzen en twee functionarissen aan te stellen. Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie. Feitelijke informatie In samenwerking met een extern bureau (IvO-partners) wordt, op basis van een analyse, de implementatie van informatiebeveiliging en privacy opgepakt. De analyse laat zien dat een inhaalslag noodzakelijk is om op het gebied van informatiebeveiliging en privacy op een adequaat niveau te komen. In dit voorstel worden de acties die nodig zijn per onderdeel kort toegelicht. Project AVG Het project AVG gaat over de omgang met privacygevoelige gegevens en de bescherming hiervan. Het beoogde resultaat van het project AVG is om per 25 mei 2018 te voldoen aan de wettelijke verplichtingen van de AVG. Hiervoor worden de volgende acties ondernomen: bewustwording en kennisvergroting bij medewerkers die werken met privacygevoelige gegevens; registratie van de verwerkingen persoonsgegevens bij de Autoriteit Persoonsgegevens. Voor alle kritische werkprocessen wordt in kaart gebracht welke persoonsgegevens worden verwerkt, met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie deze worden gedeeld; borgen van de rechten van betrokkenen (inwoners) in de huidige procedures; inventarisatie van privacyrisico s in kritische bedrijfsprocessen en benoemen en toewijzen van eventuele aanvullende maatregelen; borgen dat informatiebeveiliging aantoonbaar wordt meegenomen in het ontwerp en aanschaf van informatiesystemen; protocollen m.b.t. meldplicht datalekken en bewerkersovereenkomsten aanpassen aan de vereisten uit de AVG; borgen dat toestemming voor gebruik persoonsgegevens plaats vindt volgens de richtlijnen uit de AVG. definitief inbedden van de functionaris gegevensbescherming in de organisatie; implementeren van de verantwoordingsplicht in de gemeentelijke PDCA-cyclus. Voor het uitvoeren van dit project is momenteel onvoldoende deskundigheid in huis. Er wordt daarom tot juni 2018 een privacydeskundige in de rol van kwartiermaker ingehuurd die tijdens het project zijn kennis overdraagt aan de (interne) Functionaris Gegevensbescherming. Kosten hiervoor bedragen 49.000. Project invoering BIG Het project BIG gaat over informatiebeveiliging in brede zin: niet alleen de technische beveiliging van systemen maar ook bijvoorbeeld de toegang tot gebouwen en het menselijk handelen. Het beoogde resultaat van het project BIG is meer grip hebben op informatieveiligheid waarbij risico s zijn afgewogen, waar nodig maatregelen zijn getroffen en informatieveiligheid is ingebed in de organisatie. Aan de hand van een analyse is het verschil tussen de bestaande en de gewenste situatie op het gebied van informatiebeveiliging in beeld gebracht. Deze analyse brengt de risico s op het gebied van 1

informatiebeveiliging in beeld. In 2018 wordt gewerkt aan 4 prioriteiten. Deze prioriteiten zijn afgestemd met de accountant. Met de overige onderdelen uit de BIG wordt in 2018 een start gemaakt waarna dit in 2019 een vervolg krijgt. De verwachting is dat het vervolg binnen de staande organisatie vormgegeven kan worden. De volgende onderdelen hebben in 2018 prioriteit: 1. De organisatie van de informatiebeveiliging en bewustwording Informatiebeveiliging gaat niet enkel over de 'harde' kant zoals virusscanners en wachtwoorden. Zeker ook het menselijk handelen bepaalt hoe veilig er wordt omgegaan met (gemeentelijke) informatie. Met bewustwordingsacties wordt medewerkers kennis bijgebracht om zo een alerte houding ten aanzien van beveiligingsrisico s te realiseren. Medewerkers zijn daardoor in staat om juiste beslissingen te nemen in de omgang met gevoelige informatie. 2. Bedrijfscontinuïteit Bedrijfscontinuïteitsbeheer zorgt ervoor dat onderbrekingen van bedrijfsactiviteiten worden tegengegaan en dat kritische bedrijfsprocessen worden beschermd tegen de gevolgen van onderbrekingen. In Heusden wordt dit voor de kritische bedrijfsprocessen in beeld gebracht, naar beheersmaatregelen vertaald en ingebed in de bestaande werkprocessen. 3. Verwerving, onderhoud en ontwikkeling van systemen Het is van belang dat beveiliging wordt ingebouwd in bestaande en nieuwe informatiesystemen. Hiervoor wordt het beveiligingsniveau van bestaande systemen in beeld gebracht en vertaald naar beheersmaatregelen. Daarnaast wordt onderzocht hoe beveiliging en privacy een onderdeel kunnen worden in aanbestedingen en hoe beveiligingsrisicoanalyses kunnen worden geborgd bij projecten. Dit wordt vertaald naar maatregelen en inbedding in de betrokken (aanbestedings)processen. 4. P&C-cyclus implementeren met een Information Security Management System (ISMS) Het bestuurlijk en organisatorisch borgen van informatieveiligheid door aansluiten bij de bestaande planning&control-cyclus is een must. Een zogenaamd ISMS-systeem helpt daarbij. Een ISMS-systeem zorgt ervoor dat beveiligingsrisico s in beeld zijn met daaraan gekoppeld maatregelen en planning. Daarnaast kunnen incidenten worden geregistreerd en maakt een ISMS het gemakkelijk om verantwoording af te leggen in het kader van de ENSIA. In 2018 wordt onderzocht welk ISMS-systeem voor Heusden geschikt is. Project ENSIA De ENSIA komt in de plaats van de huidige verantwoording op het gebied van DigiD en Suwi (Structuur Werk en Inkomen) en wordt in 2018 verder uitgebreid om uiteindelijk alle normen die gesteld worden in de BIG, BRP (Basisregistratie personen), PUN (Paspoort uitvoeringsregeling Nederland), BAG (Basisregistratie adressen en gebouwen), BGT (Basisregistratie grootschalige topografie), etc. te bestrijken. Het beoogde resultaat van het project ENSIA is het uitvoeren van de verplichte verantwoording aan de raad en landelijke toezichthouders voor 1 mei 2018 en de borging van informatiebeveiliging en de verantwoordingsplicht in de gemeentelijke PDCA-cyclus voor 2019. Dit doen we door het organiseren van het nieuwe verantwoordingsproces, het creëren van brede betrokkenheid in de organisatie en het vormgeven van de verantwoording over informatieveiligheid. Daarbij ligt het accent in de verantwoording over 2017 op DigiD en Suwi (wettelijk verplicht). In 2018 wordt dit verder uitgebreid naar andere terreinen. Voor een goede borging, beheer en verantwoording van informatiebeveiliging is een werkgroep ingericht. 2

De verantwoording in het kader van ENSIA ziet er stapsgewijs als volgt uit: 1. Uitvoering zelfevaluatie (vóór 31 december 2017) Met een zelfevaluatie stelt het college vast of de informatiebeveiliging aan de normen 1 voldoet. De uitkomsten van de zelfevaluatie worden gerapporteerd aan ENSIA-autoriteit. Verbeterpunten uit de zelfevaluatie worden meegenomen in de aanpak van informatiebeveiliging in 2018. 2 Verantwoording aan landelijke toezichthouders (vóór 1 mei 2018) Voor 1 mei wordt gerapporteerd aan de landelijke toezichthouder. Belangrijk hierbij is dat in het jaarverslag een collegeverklaring informatieveiligheid is opgenomen en dat de auditor assurance heeft gegeven over Suwi en DigiD. 3 Verantwoording aan de raad (vóór 15 juli 2018) Het college legt verantwoording af over informatiebeveiliging aan de raad, waarbij een aantal zaken geregeld moet zijn, waaronder borging van de verantwoording in de organisatie, het opnemen van een paragraaf informatieveiligheid (als onderdeel van de paragraaf bedrijfsvoering) in het jaarverslag en het formuleren en beleggen van verbeteracties. Na vaststelling door de gemeenteraad vindt rapportage plaats aan het Ministerie van Binnenlandse zaken en Koninkrijksrelaties. Bij de afronding van het ENSIA-project zal een evaluatie worden uitgevoerd over de aanpak van het verantwoordingstraject. De lessons learned zullen worden meegenomen in de aanpak voor de verantwoording in 2018 en volgende jaren. Het project komt hiermee tot een einde en de ENSIAverantwoording wordt geborgd in de organisatie. Afweging Informatiebeveiliging en privacy zijn erg actueel. Regelmatig verschijnen berichten over gehackte systemen en datalekken in de media. In het kader van de begroting 2018 zijn ook (raads)vragen gesteld over de stand van zaken met betrekking tot informatiebeveiliging en privacy. Daarnaast worden we op korte termijn op het gebied van de AVG en ENSIA al geconfronteerd met wettelijke deadlines. Heusden is nog kwetsbaar op dit gebied en moet dan ook op zeer korte termijn voortvarend aan de slag. Belangrijkste focus is daarbij bewustwording en in control komen. Niets doen is in dit geval geen optie omdat veel zaken wettelijk zijn voorgeschreven. Tot zo n 3 jaar geleden was privacy en informatiebeveiliging veel minder een issue dan het nu is. Dit heeft als gevolg dat er in de organisatie keuzes zijn gemaakt die vanuit het perspectief van privacy en informatiebeveiliging niet altijd juist zijn. Het is dan ook noodzakelijk om met de inzichten van vandaag opnieuw die keuzes te maken. Daarbij is het streven om zo veilig mogelijk te werken en afgewogen risico s te accepteren. Dit houdt in dat er wordt gekozen voor een praktische insteek met een juiste balans tussen veiligheid en een werkbare situatie. Inzet van middelen Tijdelijke inhuur. Voor de implementatie is inzet van verschillende medewerkers uit de gehele organisatie noodzakelijk. Gelet op de inhaalslag die gemaakt moet worden, wordt een behoorlijke inzet van de medewerkers op korte termijn verwacht. Dit kan niet volledig met de bestaande capaciteit. Het is daarom noodzakelijk om werk uit te besteden om zo tijd vrij te maken voor dit traject. Om kennis van informatieveiligheid en privacy in de 1 BIG-normen en specifieke normen voor de BRP, PUN, DigiD, SUWInet, BAG en BGT. 3

organisatie op te bouwen en te borgen wordt ervoor gekozen om andere werkzaamheden uit te besteden zodat vaste medewerkers ruimte krijgen voor dit traject. De volgende inhuur is noodzakelijk: I&A: 600 uur 80/uur 48.000 Bouwkunde: 100 uur 50/uur 5.000 Sportbedrijf: 40 uur 50/uur 2.000 P&O: 180 uur 50/uur 9.000 Burgerzaken: 218 uur 50/uur 10.900 Communicatie: 90 uur 50/uur 4.500 Totaal 79.400 (eenmalig in 2018) Kwartiermaker AVG Omdat er onvoldoende kennis en deskundigheid in de organisatie aanwezig is op het gebied van AVG wordt een kwartiermaker AVG ingehuurd tot juni 2018. De eenmalige kosten bedragen 49.000, waarvan 42.000 in het jaar 2018. Ondersteuning door auditor project ENSIA Voor de verantwoording ENSIA is ondersteuning bij de invoering van maatregelen door een auditor gewenst. In 2018 bedragen de kosten hiervoor 6.000. Deze kosten worden gedekt uit de post ICT-advieskosten derden. Omdat de ENSIA-verantwoording steeds breder wordt is ook in de toekomst structurele ondersteuning door een auditor gewenst. De structurele kosten bedragen vanaf 2019 12.500. ISMS-systeem Zoals eerder genoemd vindt in 2018 een oriëntatie op een dergelijk systeem plaats. Kosten hiervoor zijn nu niet in beeld. De schatting is dat de eenmalige kosten 20.000 bedragen en de onderhoudskosten 2.500. Communicatie en bewustwording Werkbudget voor lezing, flyer, posters. Deze eenmalige kosten bedragen ongeveer 3.500. Eenmalige kosten 2018 Kosten 2019 en verder Inhuur 79.400 Kwartiermaker 42.000 ENSIA 6.000 12.500 ISMS-systeem 20.000 2.500 Communicatie 3.500 Totaal 150.900 15.000 De totale projectkosten bedragen voor 2018 150.900. De kosten van project ENSIA kunnen in 2018 worden gedekt uit bestaande middelen. De overige kosten ad 144.900 zullen in de eerste bestuursrapportage worden meegenomen. Daarbij zal aan de raad een memo worden aangeboden met een toelichting op de extra middelen die nodig zijn voor diverse trajecten in de gehéle organisatie. In de begroting voor 2018 is in de bedrijfsvoeringparagraaf al aangekondigd dat Heusden op het gebied van informatiebeveiliging en privacy onvoldoende scoort en dat een verbetertraject noodzakelijk is om de informatiebeveiliging en gegevensbescherming op een adequaat niveau te krijgen. De structurele kosten vanaf 2019 bedragen 15.000 (in geval een ISMS aangeschaft wordt). Deze middelen kunnen niet worden gedekt uit reguliere budgetten en zodoende zijn aanvullende middelen nodig. Deze structurele kosten worden tevens meegenomen in de eerste bestuursrapportage. 4

Risico's De gemeente Heusden is momenteel kwetsbaar op het gebied van informatiebeveiliging en privacy en loopt de volgende risico s: financiële en emotionele schade voor inwoners op het moment dat hun (privacygevoelige) gegevens op straat komen te liggen; kans op een datalek waarbij de gemeente een boete (maximaal 820.000) riskeert op het moment dat niet alle benodigde maatregelen zijn getroffen. Dit risico is niet volledig uit te sluiten, echter van belang is dat de gemeente aan kan tonen dat zij voldoende maatregelen heeft getroffen om een boete af te wentelen; onvoldoende score bij audits met mogelijk gevolg dat de autoriteit persoonsgegevens maatregelen gaat opleggen; imagoschade; angst en onrust bij burgers; problemen in de dienstverlening als ICT-systemen worden getroffen door een hackersaanval. Zoals eerder aangegeven is niets doen geen optie. In de aanpak van informatiebeveiliging en privacy is van een realistisch en praktisch scenario uitgegaan. Minder doen vergroot het risico op een datalek en een eventuele daarmee gepaard gaande boete opgelegd door de Autoriteit Persoonsgegevens, los van alle andere gevolgen voor betrokkenen. In welke intensiteit de Autoriteit Persoonsgegevens in 2018 gaat controleren is nog niet te voorspellen. Dit is echter geen aanleiding om verminderd in te zetten op verbetering van de privacybescherming en informatiebeveiliging. Procedure / vervolgstappen Na uw besluit wordt gestart met een bewustwordingscampagne. De raad wordt geïnformeerd met bijgevoegde memo. U heeft op 7 november jl. besloten om voor het implementatietraject BIG, AVG en ENSIA tijdelijk een functionaris gegevensbescherming en chief information security officer aan te stellen. Over verdere definitieve inbedding in de organisatie en eventuele financiële consequenties zal u te zijner tijd een voorstel worden voorgelegd. U kunt ieder kwartaal een update van de implementatie verwachten. Voorgenomen besluit Het voorstel is om bijgaand besluit vast te stellen. 5

BESLUIT Het college van Heusden heeft in de vergadering van 23 januari 2018, besloten: in te stemmen met de aanpak van informatiebeveiliging en privacy zoals verwoord in dit voorstel; de dekking voor dit traject mee te nemen in de eerste bestuursrapportage; de raad te informeren met een memo; ieder kwartaal een tussentijdse stand van zaken tegemoet te zien. namens het college van Heusden, de secretaris, mr. H.J.M. Timmermans 6

M E M O R A A D Aan: de leden van de raad Van: Het college van Heusden Datum: 23 januari 2018 : Informatiebeveiliging en privacy Doel: ter kennisname/ter informatie Aanleiding: informatie (algemeen) Aard informatie: openbaar Aanleiding / voorgeschiedenis In dit memo wordt u geïnformeerd over de Baseline informatiebeveiliging Nederlandse gemeenten (hierna: BIG), de Algemene Verordening Gegevensbescherming (hierna: AVG), de Wet datalekken en de Eenduidige Normatiek Single Information Audit (ENSIA). Er wordt ingegaan op de gevolgen hiervan voor Heusden en hoe dit in onze gemeente wordt geïmplementeerd. Informatie Wat is de Baseline informatiebeveiliging Nederlandse Gemeenten (BIG)? De VNG heeft de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen. Deze resolutie moet zorgen voor een verbetering van de informatieveiligheid door de implementatie van de BIG. De BIG bevat ruim 300 richtlijnen en voorschriften die bij naleving zorgen voor een acceptabel niveau van informatiebeveiliging binnen de gemeente. De BIG is opgezet rondom bestaande normen zoals de Wet bescherming persoonsgegevens, de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen, de Gemeentelijke Basisadministratie, de Basisregistratie Adressen en Gebouwen en de Wet Paspoortuitvoeringsregeling. Wat is de Algemene Verordening Gegevensbescherming (AVG)? Op 25 mei 2016 is de AVG in werking getreden. Deze nieuwe wetgeving moet zorgen voor harmonisatie van de huidige privacyregelgeving in Europa en verbetering van de privacy(bescherming) van burgers. Gemeenten hebben een grote verantwoordelijkheid waar het gaat om de omgang met persoonsgegevens. Om gemeenten te ondersteunen bij de implementatie van de AVG is door de VNG onder meer het Raamwerk Privacy en de, hiervoor genoemde, BIG ontwikkeld. Het Raamwerk Privacy en de BIG helpt gemeenten om privacy goed te borgen. Gemeenten hebben tot 25 mei 2018 de tijd om aan de AVG te voldoen. Wat is de Wet Datalekken? Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Onder een datalek valt het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. De autoriteit Persoonsgegevens kan bij een ernstig datalek een boete opleggen. Deze boete kan oplopen tot 820.000. Onze gemeente heeft tot nu toe twee officiële meldingen gedaan op grond van de Wet datalekken die niet hebben geleid tot een boete. Mocht er in de toekomst sprake zijn van een datalek dan moeten we kunnen aantonen dat we de nodige maatregelen uit de BIG en AVG hebben getroffen om de kans op een datalek zo klein mogelijk te maken.

Wat is ENSIA (Eenduidige Normatiek Single Information Audit)? ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke planning- en control-cyclus. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. Deze verantwoording bestaat uit de zelfevaluatie, een IT-audit, een verklaring van het college van B&W en een passage over informatieveiligheid in het jaarverslag aan de raad. De ENSIA komt in de plaats van de huidige verantwoording op het gebied van DigiD en Suwi (Structuur Werk en Inkomen) en wordt in 2018 verder uitgebreid om uiteindelijk alle normen uit de BIG, BRP (basisregistratie personen), PUN (paspoort uitvoeringsregeling Nederland), BAG (basisregistratie adressen en gebouwen), BGT (basisregistratie grootschalige topografie) te bestrijken. Wat betekent dit voor Heusden? Informatiebeveiliging en privacy zijn erg actueel. Regelmatig verschijnen berichten over gehackte systemen en datalekken in de media. In het kader van onze begroting heeft u vragen gesteld over de stand van zaken over informatiebeveiliging en privacy. In de begroting voor 2018 is in de bedrijfsvoeringparagraaf aangekondigd dat Heusden op het gebied van informatiebeveiliging en privacy nog onvoldoende scoort en dat een verbetertraject noodzakelijk is om de informatiebeveiliging en gegevensbescherming op een adequaat niveau te krijgen. Daarnaast worden we op korte termijn op het gebied van de AVG en ENSIA geconfronteerd met wettelijke deadlines. Heusden is nog kwetsbaar op dit gebied en is daarom eind 2017 hiermee aan de slag gegaan. Belangrijkste focus is daarbij bewustwording en in control komen. In samenwerking met een extern bureau (IvO-partners) wordt, op basis van een analyse, de implementatie opgepakt. De analyse laat zien dat een inhaalslag noodzakelijk is om op het gebied van informatiebeveiliging en privacy op een adequaat niveau te komen. Daarbij is het streven om zo veilig mogelijk te werken en afgewogen risico s te accepteren. Dit houdt in dat er wordt gekozen voor een praktische insteek met een juiste balans tussen veiligheid en een werkbare situatie. Hieronder worden de acties die voor de implementatie nodig zijn, per onderdeel, kort toegelicht. Project BIG Aan de hand van een analyse is het verschil tussen de bestaande en de gewenste situatie op het gebied van informatiebeveiliging, in beeld gebracht. Deze analyse brengt de risico s op het gebied van informatiebeveiliging in beeld. In afstemming met de accountant wordt in 2018 gewerkt aan de volgende 4 prioriteiten: de organisatie van de informatiebeveiliging en bewustwording; bedrijfscontinuïteit; verwerving, onderhoud en ontwikkeling van systemen; implementatie van informatiebeveiliging en maatregelen in de planning- en controlcyclus. Met de overige onderdelen uit de BIG wordt in 2018 een start gemaakt waarna dit in 2019 een vervolg krijgt. De verwachting is dat hiermee voldoende inspanning wordt geleverd om BIG-proof te worden. Het beoogde resultaat van het project BIG is meer grip hebben op informatieveiligheid waarbij risico s zijn afgewogen, waar nodig maatregelen zijn getroffen en informatieveiligheid is ingebed in de organisatie. Project AVG Het project AVG gaat over de bescherming van privacygevoelige gegevens. Het beoogde resultaat van het project AVG is om per 25 mei 2018 te voldoen aan de wettelijke verplichtingen van de AVG. Hiervoor worden, onder andere, de volgende acties ondernomen:

bewustwording en kennisvergroting bij medewerkers die werken met privacygevoelige gegevens; registratie van de verwerkingen persoonsgegevens bij de Autoriteit Persoonsgegevens; borgen van de rechten van betrokkenen (inwoners) in de huidige procedures; inventarisatie van privacyrisico s in kritische bedrijfsprocessen en treffen van eventuele aanvullende maatregelen; informatiebeveiliging meenemen bij ontwerp en aanschaf van ICT-systemen; protocollen m.b.t. Meldplicht datalekken en bewerkersovereenkomsten vervaardigen; implementeren van de verantwoordingsplicht in de gemeentelijke PDCA-cyclus. Voor het uitvoeren van dit project wordt tot juni 2018 een privacydeskundige in de rol van kwartiermaker ingehuurd die tijdens het project zijn kennis overdraagt aan de interne Functionaris Gegevensbescherming. Project ENSIA Het beoogde resultaat van het project ENSIA is het uitvoeren van de verplichte verantwoording aan de raad en landelijke toezichthouders voor 1 mei 2018 en de borging van informatiebeveiliging en de verantwoordingsplicht in de gemeentelijke PDCA-cyclus voor 2019. Dit doen we door het organiseren van het nieuwe verantwoordingsproces, het creëren van brede betrokkenheid in de organisatie en het vormgeven van de verantwoording over informatieveiligheid. Daarbij ligt het accent in de verantwoording over 2017 op DigiD en Suwi (wettelijk verplicht). In 2018 wordt dit verder uitgebreid naar andere terreinen. De verantwoording in het kader van ENSIA ziet er stapsgewijs als volgt uit: 1. Uitvoering zelfevaluatie (vóór 31 december 2017) Met een zelfevaluatie stelt het college vast of de informatiebeveiliging aan de normen 1 voldoet. De uitkomsten van de zelfevaluatie worden gerapporteerd aan ENSIA-autoriteit. Verbeterpunten uit deze zelfevaluatie worden meegenomen in de aanpak van informatiebeveiliging in 2018. 2. Verantwoording aan de raad (vóór 15 juli 2018) Het college legt verantwoording af over informatiebeveiliging aan de raad in een paragraaf informatieveiligheid in het jaarverslag. Na vaststelling door de gemeenteraad vindt rapportage plaats aan het Ministerie van Binnenlandse zaken en Koninkrijksrelaties. 3. Verantwoording aan landelijke toezichthouders (vóór 1 mei 2018) Voor 1 mei wordt gerapporteerd aan de landelijke toezichthouder. Belangrijk hierbij is dat in het jaarverslag een collegeverklaring informatieveiligheid is opgenomen en dat de auditor assurance heeft gegeven over Suwi en DigiD. Bij de afronding van het ENSIA-project zal een evaluatie worden uitgevoerd over de aanpak van de verantwoordingstraject. De ENSIA-verantwoording wordt voor eind 2018 geborgd in de staande organisatie. 1 BIG-normen en specifieke normen voor de BRP, PUN, DigiD, SUWInet, BAG en BGT.

Inzet van middelen Eenmalige kosten 2018 Kosten 2019 en verder Inhuur 79.400 Kwartiermaker 42.000 ENSIA 6.000 12.500 ISMS-systeem 20.000 2.500 Communicatie 3.500 Totaal 150.900 15.000 De totale projectkosten bedragen voor 2018 150.900. De kosten van project ENSIA kunnen in 2018 worden gedekt uit bestaande middelen. De overige kosten ad 144.900 zullen in de eerste bestuursrapportage worden meegenomen. De structurele kosten vanaf 2019 bedragen 15.000 (in geval een ISMS aangeschaft wordt). Deze middelen kunnen niet worden gedekt uit reguliere budgetten en zodoende zijn aanvullende middelen nodig. Deze structurele kosten worden tevens meegenomen in de eerste bestuursrapportage. Risico's De gemeente Heusden voldoet momenteel nog niet aan de normen die op het gebied van informatiebeveiliging en privacy gesteld worden. De kans op een datalek of een gehackt systeem laat zich moeilijk inschatten. Indien dit zich voordoet dan kan dit flinke gevolgen hebben. Denk daarbij aan financiële en emotionele schade voor inwoners op het moment dat hun (privacygevoelige) gegevens op straat komen te liggen, een boete van de Autoriteit Persoonsgegevens, imagoschade en problemen in de dienstverlening. Samengevat We hebben geconstateerd dat Heusden op het gebied van informatiebeveiliging en privacy een inhaalslag moet maken. Wij hechten eraan dat de gegevens van burgers bij ons in goede handen zijn. We hebben geen signalen dat dit nu extra gevaar loopt, echter de aangescherpte regelgeving vraagt verdere inspanning (en dus een inhaalslag) van onze zijde. Bij de aanpak wordt van een realistisch en praktisch scenario uitgegaan met als doel te voldoen aan de AVG en het bereiken van een adequaat niveau op het gebied van de informatiebeveiliging. Minder doen vergroot naar onze mening het risico op een datalek in de toekomst met alle gevolgen van dien. Wij hebben dan ook besloten om in 2018 de implementatie van de BIG en AVG voortvarend verder op te pakken.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback