9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Vergelijkbare documenten
Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

ECIB/U Lbr. 17/010

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Cools, Luuk

ons kenmerk ECSD/U Lbr. 14/091

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

ons kenmerk ECSD/U Lbr. 14/091

ons kenmerk ECIB/U Lbr. 16/046

ECIB/U Lbr. 15/079

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

uw kenmerk ons kenmerk ECSD/U Lbr. 15/066

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Tjoelker, Nicolien. and. VNG Ledenbrief. Onderwerp: FW: Lbr. 16/046 - Ontwikkelingen informatieveiligiieid

BABVI/U Lbr. 13/057

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Aan welke eisen moet het beveiligingsplan voldoen?

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Tweede Kamer der Staten-Generaal

Rekenkamercommissie Brummen

o n k Ö A fia* V/ \ ^ * f

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Handreiking Implementatie Specifiek Suwinetnormenkader

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Introductie Suwinet en ENSIA

Handreiking Nieuwe Suwi Autorisaties

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Format presentatie Kick-off

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Verantwoordingsrichtlijn GeVS 2019 (versie )

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

ons kenmerk BAOZW/U Lbr. 12/003

Jaarverslag Informatiebeveiliging en Privacy

ENSIA voor informatieveiligheid

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Assurancerapport van de onafhankelijke IT-auditor

illinium i ui /12/2013

BABVI/U Lbr. 12/081

BABVI/U Lbr. 12/090

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Voorstel Informatiebeveiliging beleid Twente

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

ons kenmerk BAWI/U Lbr. 07/132

1 imd^h IK V <* t. Gemeente Woerden Registratiedatum: Behandelend afdeling Afgehandeld door/op: 14/11/2013

Welkom bij parallellijn 1 On the Move uur

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Verbeterplan Suwinet

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

BAWI/U Lbr. 08/22

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Informatievoorziening voor Raadsleden

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

2015; definitief Verslag van bevindingen

Privacyverordening gemeente Utrecht. Utrecht.nl

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

il'-'ih'li-l'li'-ihih

Brief aan de leden T.a.v. het college en de raad. 5 april 2017 U Lbr. 17/018 (070)

- 6 JUNI 21)14. Gemeente Woerden Brief aan de leden T.a.v. het college en de raad (070)

i-l ;EP 20i Stuknummer: AI pagina 1 van 1 Inlichten instantie via * 'jaar DER

ons kenmerk BB/U

ECSD/U Lbr. 14/048

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

rliiiiihihhiiiivi.ilhn

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Privacy & online. 9iC9I

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

raad /com; 4-t2.-i2- vka cf voorste+feaee:

Vragen en antwoorden whitelist en escapefunctie

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

BABVI/U Lbr. 12/015

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

BAOZW/U Lbr. 09/039

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Transcriptie:

Vereniging van Nederlandse Gemeenten Brief aan de leden T.a.v. het college en de raad f informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Implementatie Borging Veilige ons kenmerk ECIB/U201601101 datum 9 augustus 2016 Gegevenswisseling Suwinet Lbr. 16/064 (BVGS) ĨA Samenvatting Geacht college en geachte raad, Met deze ledenbrief informeren wij u over het implementatieprogramma Borging Veilige Gegevenswisseling Suwinet. Wij verwijzen u naar een aantal tools met behulp waarvan u Suwinet in uw gemeente veiliger kan gebruiken. Met deze tools kunt u de privacy van uw burgers beter beschermen, eenvoudiger interne controleprocessen inrichten en proactief voldoen aan toekomstige leveringsvoorwaarden van gegevensbronnen. Het merendeel van de tools is klaar om in gebruik te worden genomen. Na het zomerreces zal een accountteam het land in gaan om gemeenten voor te lichten en te begeleiden bij het in gebruik nemen van de tools. Ze sluiten ook aan op de inhoud van generieke trajecten rond informatiebeveiliging zoals de BIG, ENSIA, de Digitale Agenda 2020 en de voorschriften uit de Algemene Verordening Gegevensbescherming. U kunt als bestuurder en raadslid een bijdrage leveren aan een voorspoedige implementatie door bij de uitvoering te benadrukken dat het van groot belang is om de bovengenoemde maatregelen tijdig te implementeren. Ook kunt u regelmatig naar de status van de voortgang informeren.

Aan de leden Vereniging van Nederlandse Gemeenten f informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft ons kenmerk datum Implementatie Borging Veilige ECIB/U201601101 9 augustus 2016 Gegevenswisseling Suwinet Lbr. 16/064 (BVGS) ĪA Geacht college en gemeenteraad, Met deze ledenbrief informeren wij u over het implementatieprogramma Borging Veilige Gegevenswisseling Suwinet. Wij verwijzen u naar een aantal tools waarmee u Suwinet in uw gemeente veiliger kan gebruiken. Met deze tools kunt u de privacy van uw burgers beter beschermen, eenvoudiger interne controleprocessen inrichten en proactief voldoen aan toekomstige leveringsvoorwaarden van gegevensbronnen. Het merendeel van de tools is klaar om in gebruik te worden genomen. Na het zomerreces zal een accountteam het land in gaan om gemeenten voor te lichten en te begeleiden bij het in gebruik nemen van de tools. Ze sluiten ook aan op de inhoud van generieke trajecten rond informatiebeveiliging zoals de BIG, ENSIA, de Digitale Agenda 2020 en de voorschriften uit de Algemene Verordening Gegevensbescherming. U kunt als bestuurder en raadslid een bijdrage leveren aan een voorspoedige implementatie door bij de uitvoering te benadrukken dat het van groot belang is om de bovengenoemde maatregelen tijdig te implementeren. Ook kunt u regelmatig naar de status van de voortgang informeren. Informatiebeveiliging gemeenten: generiek en proactief Zoals u bekend is, zet de VNG al geruime tijd stevig in op een generieke en proactieve gemeentelijke aanpak met betrekking tot informatiebeleid in het algemeen en informatiebeveiliging in het bijzonder. In dit kader kunnen genoemd worden:. De Baseline Informatiebeveiliging Gemeenten (BIG) en de totstandkoming en doorontwikkeling van de Informatiebeveiligingsdienst (IBD). In de bijzondere ledenvergadering van najaar 2013 nam de ALV van de VNG met een overgrote meerderheid een resolutie aan waarin gemeenten verklaren de BIG als gemeentebreed normenkader voor informatiebeveiliging te zullen implementeren. De IBD ondersteunt en adviseert gemeenten daarbij.. ENSIA. ENSIA staat voor Eenduidige Normatiek en Single Information Audit. ENSIA wordt ontwikkeld om gemeenten in staat te stellen op transparante wijze aan de gemeenteraad

verantwoording af te leggen over het gerealiseerde niveau van informatieveiligheid. Daarmee wordt de bestaande verantwoordingslast rond SUWI, DigiD, BRP etc. eenvoudiger gemaakt. ENSIA is een interbestuurlijk traject waarbij departementen én gemeenten samenwerken om de verantwoordingslast te beperken. Op dit moment worden implementatietools voor ENSIA ontwikkeld wordt het uitgangspunt van Single Audit uitgewerkt. Gemeenten worden in de toekomst aan één IT-Audit onderworpen. De implementatie van ENSIA start op 1 januari 2017.» Digitale Agenda 2020. Juni jl. heeft de ALV ingestemd met een brede beweging van activiteiten gericht op de doorontwikkeling van gemeenten in de informatiesamenleving. Klik hier voor meer informatie. Eén van de activiteiten onder deze noemer is de Bestuurlijke Visitatiecommissie Informatiebeveiliging. Deze commissie bestaande uit twee burgemeesters en een hoofd Publieke Dienstverlening bezoekt colleges van B&W en gaat met hen in gesprek over de lokale status van de informatiebeveiliging en hoe deze op niveau te brengen of houden.» Algemene Verordening Gegevensbescherming (AVG). Deze verordening harmoniseert privacyregelgeving in Europa en verbetert de privacybescherming van burgers. De AVG is reeds in werking getreden. U heeft tot 25 mei 2018 om aan de nieuwe wetgeving te voldoen. U bent hierover geïnformeerd met ledenbrief 16/058. Wij adviseren om de in deze ledenbrief benoemde acties in samenhang op te pakken met de implementatie van de tools uit het programma BVGS. Kolom werk en inkomen: van specifiek en reactief ook naar generiek en proactief In de kolom werk en inkomen was de situatie de afgelopen jaren anders. In de jaren 2013 en 2014 zijn kritische inspectierapporten verschenen over de wijze waarop gemeenten gebruik maken van Suwinet, het gegevenswisselingsysteem in de kolom Werk en Inkomen. Ook is uit een in 2014 verrichte Privacy Impact Assessment gebleken dat naast verbeteringen aan gebruikerszijde, het systeem zelf ook doorontwikkeling behoefde om de informatieveiligheid te vergroten en de privacy van cliënten beter te kunnen borgen. Dankzij alle inspanningen heeft een omslag plaatsgevonden:» Het inspectierapport over de onderzoeksperiode 2014-2015 is recent aan de Tweede Kamer verzonden. Uit dit rapport komt een beeld naar voren dat als overwegend positief te kenmerken is. Uit het onderzoeksrapport blijkt dat op 1 september 2015 de helft van de gemeenten aan alle onderzochte normen voldoet. Bij het verzenden van het rapport aan de Tweede Kamer in juli 2016 heeft ruim 9000) van de gemeenten aangegeven alle tekorten te hebben weggewerkt. Klik hier voor meer informatie. Voor gemeenten die achterblijven heeft het ministerie van SZW een sluitende handhavingsaanpak ingericht. Naar verwachting zullen ook de laatste gemeenten op korte termijn aan de 7 onderzochte normen voldoen. Klik hier voor meer informatie. datum 9 augustus 2016 02/04

» Naar aanleiding van de hierboven genoemde Privacy Impact Assesment is het programma Borging Veilige Gegevenswisseling Suwinet (hierna BVGS) tot stand gekomen. In dit programma is een aantal veiligheidstools ontwikkeld. Wat heeft u als gemeente aan de implementatie van de tools? De tools zijn erop gericht om dienstverlening met inbegrip van passende privacybescherming verder te verbeteren. Voor gemeenten biedt het op meerdere manieren voordelen om deze tools te implementeren. De VNG roept gemeenten daarom op dit zo snel mogelijk te doen. Dit zijn de voordelen:» Met het daadwerkelijk realiseren van de omslag en de implementatie van de veiligheidstools kunnen gemeenten met het gebruik van Suwinet aansluiten op de generieke gemeentebrede trajecten als implementatie van de BIG, verantwoording via ENSIA en de Digitale Agenda 2020. Door proactief in te spelen op deze initiatieven houden gemeenten zelf regie. Dit helpt nieuwe inspectieonderzoeken te voorkomen.» Het gebruik van de tools zal initieel een tijdsinvestering vragen bij lokale implementatie. Hierna zullen werkprocessen rond autoriseren en controle op gebruik beter hanteerbaar zijn en in kwaliteit en efficiency toenemen. Door het gebruik van de tools gericht op bewustwording en training zullen medewerkers bewuster kunnen omgaan met persoonsgegevens. Ook dit maakt de controle beter hanteerbaar.» Met het gebruik van de tools nemen de in de PIA blootgelegde risico's (zoals disproportioneel gebruik van gegevens, te breed autoriseren, teveel zoeksleutels toekennen) af. U kunt dus met de tools de privacybescherming van uw burgers verbeteren. Daarmee haakt u aan op de nieuwe bepalingen uit de AVG.» Veel gegevensleveranciers willen privacyvoorwaarden gaan verbinden aan de levering van gegevens. Met de implementatie van de tools kunt u hierop vooruit lopen. Met name het gebruik van de white list - om uitsluitend klanten van de gemeente zelf te kunnen opvragen - zouden gegevensleveranciers bij voorkeur verplicht stellen voor het voortzetten van gegevenslevering. Maatregelen en producten in vogelvlucht De tools die in het implementatieprogramma zijn ontwikkeld, zijn onder te brengen in drie categorieën: 1. Beheertechnische tools 2. Tools gericht op bewustwording en training van medewerkers 3. Tools gericht op naleving van normen en verantwoording over het gebruik In de bijlage vindt u een korte beschrijving van alle tools. Praktische informatie over het implementatieprogramma In opdracht van de VNG heeft KING een implementatieteam met accountmanagers samengesteld. Deze accountmanagers starten direct na het zomerreces met het benaderen van alle gemeenten. Doelstelling is gemeenten te informeren en te adviseren over de invoering van de diverse tools die in het ontwikkelprogramma BVGS zijn gerealiseerd. Vanaf medio september datum 9 augustus 2016 03/04

worden regionale bijeenkomsten georganiseerd voor gemeenten, gericht op zowel leidinggevenden als betrokkenen uit ICT- en informatiebeveiligingszijde. Elke accountmanager wordt gekoppeld aan een regio en zal de gemeenten en gemeentelijke samenwerkingsverbanden daarbinnen actief benaderen. Focus van het team is het gehele palet van tools dat het programma reeds heeft voortgebracht, de uitwisseling van kennis en ervaringen vanuit zowel de huidige pilots als de gemeenten die starten met de implementatie van de tools. Informatie over het accountteam en over de tools kunt u vinden op www.vng.nl/veiliggebruiksuwinet. Oproep Nogmaals willen wij u als bestuurder en raadslid oproepen een bijdrage leveren aan een voorspoedige implementatie door het belang van het programma te benadrukken en herhaald te informeren naar de status van de voortgang. U draagt daarmee bij aan de verbetering van de privacybescherming van de burgers in uw gemeente en steunt de uitvoering om dit zo gemakkelijk mogelijk te realiseren. Hoogachtend, Vereniging van Nederlandse Gemeenten J. Kriens Voorzitter directieraad Deze ledenbrief staat ook op www.vng.nl onder brieven. datum 9 augustus 2016 04/04

BIJLAGE - korte omschrijving van de tools Ad 1. Beheertechnische tools. Fijnmaziger autoriseren. Door een nieuwe indeling van gegevens van klanten op de inkijkpagina's van Suwinet kan de gegevenslevering aan medewerkers beter worden afgestemd op de wettelijke taken die zij uitvoeren. Hiervoor is het nodig dat autorisaties opnieuw tegen het licht worden gehouden en opnieuw worden verstrekt. De gegevenslevering wordt daardoor proportioneler. Dat wil zeggen dat medewerkers niet onnodig teveel gegevens onder ogen krijgen. Zij zien alleen de gegevens die zij nodig hebben voor hun werk.. Heroverweging gebruik zoeksleutels. Het uitgangspunt in Suwinet-Inkijk is dat cliëntgegevens worden geraadpleegd met het BSN als zoeksleutel. Hierop zijn soms uitzonderingen mogelijk zoals zoeken op adres of kenteken. Een handreiking beschrijft hoe een gemeente om kan gaan met deze risicovolle zoekmogelijkheden. Deze beschrijft hoe het autoriseren van medewerkers voor deze zoekschermen zorgvuldig kan worden gedaan.. Meer en beter gebruik van de gebruikersrapportages. Alle raadplegingen door medewerkers worden gelogd. Gemeenten krijgen periodiek beschikking over gebruikersrapportages op basis van die loggingsgegevens. De rapportages worden nog niet door alle gemeenten (optimaal) gebruikt. In de toekomst zullen rapportages sneller en gemakkelijker ter beschikking worden gesteld via een online tool. Gemeenten kunnen de wijze waarop zij de rapportage inzetten in het controleproces, vereenvoudigen en optimaliseren. Gemeenten waarbij de inspectie non-gebruik constateerde, zullen hierop door het accountteam implementatie worden geattendeerd en worden geholpen bij het inpassen van de rapportages in de controleprocessen.. Per gemeente kan bij het BKWI (Bureau Keteninformatie Werk en Inkomen, beheerder van Suwinet) een filtermechanisme worden geïnstalleerd waardoor alleen gegevens opgevraagd kunnen worden van burgers waar de gemeente een dienstverleningsrelatie mee heeft of had. Daarmee wordt één van de grootste privacyrisico's van Suwinet-Inkijk - namelijk dat alle inwoners van Nederland geraadpleegd kunnen worden, grotendeels weggenomen. Het filter is vormgegeven als een 'white list', de gemeente stelt de inhoud van deze 'white list' zelf vast en houdt deze zelf actueel. Ad 2. Tools gericht op bewustwording en training van medewerkers. Bewustwording. Aan gemeenten wordt een mix van communicatiemiddelen ter beschikking gesteld om de medewerkers voor te lichten. Het is van belang om helder aan gebruikers over te brengen wat wel en niet is toegestaan. Gemeenten kunnen dit vastleggen in een gebruikersverklaring en de medewerker vragen dit te tekenen.. Training. Na het voorlichten van medewerkers kunnen zij getoetst worden op hun inzichten over veilig gebruik van Suwinet-Inkijk. Hiervoor is een e-learning tool ontwikkeld. datum 9 augustus 2016 02/03

De medewerker doorloopt een online vragenlijst. Gemeenten kunnen de e-learning tool inzetten in combinatie met de gebruikersverklaring.» Uniform sanctiebeleid. Wanneer het toch misgaat en een medewerker maakt misbruik van Suwinet is de vraag hoe te sanctioneren. Voor gemeenten is een stappenplan beschikbaar om sanctiebeleid te implementeren. Ad 3. Tools gericht op de naleving van normen en de verantwoording over het gebruik» Het Suwi-normenkader (specifiek voor Werk en Inkomen) en de Baseline Informatiebeveiliging Gemeenten (gemeentebreed) zijn beter op elkaar afgestemd. De kaders zijn ontdubbeld en de overgebleven Suwi-normen zijn gerelateerd aan de normen in de BIG. De Suwi-norm is dan een aanvulling op of een uitwerking van de BIG-norm. Er is extra aandacht besteed aan normen over telewerken, doorleveren van gegevens en risicoklassen. Gemeenten kunnen bij de implementatie van de BIG de aanvullingen vanuit Suwi direct meenemen.» De aansluitvoorwaarden zullen worden herijkt. Dit traject is nog in uitvoering. Wanneer het implementatieprogramma is afgerond worden gemeenten gevraagd om aansluitvoorwaarden te tekenen die uitgaan van veilig gebruik van Suwinet op basis van de hierboven beschreven tools. datum 9 augustus 2016 03/03

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback