Rapportage Informatiebeveiliging 2018

Vergelijkbare documenten
Rapportage Informatiebeveiliging 2017

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ECIB/U Lbr. 17/010

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Jaarverslag Informatiebeveiliging en Privacy

ENSIA voor informatieveiligheid

Informatieveiligheidsbeleid

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Handreiking Implementatie Specifiek Suwinetnormenkader

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Assurancerapport van de onafhankelijke IT-auditor

Format presentatie Kick-off

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Handleiding ENSIA-tool. voor gemeenten

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Aan welke eisen moet het beveiligingsplan voldoen?

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Welkom bij parallellijn 1 On the Move uur

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Quick scan Informatiebeveiliging gemeente Zoetermeer

Algemeen privacybeleid gemeente Asten 2018

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Verantwoordingsrichtlijn GeVS 2019 (versie )

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Raadsmededeling - Openbaar

concept besluitenlijst b en w-vergadering

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Gemeente Alphen aan den Rijn

Verantwoordingsrapportage

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Informatiebeveiligingsbeleid

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

Privacy & online. 9iC9I

Checklist Beveiliging Persoonsgegevens

Innovatie in een veranderd risicolandschap

A2 PROCEDURE MELDEN DATALEKKEN

ons kenmerk ECIB/U Lbr. 16/046

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Aantoonbaar in control op informatiebeveiliging

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Rekenkamercommissie Brummen

UITTREKSEL en MANAGEMENTRAPPORTAGE

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2015; definitief Verslag van bevindingen

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Voorstel Informatiebeveiliging beleid Twente

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

De 10 bestuurlijke principes voor informatiebeveiliging

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Stappenplan naar GDPR compliance

Verantwoordingsrichtlijn

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Informatiebeveiliging

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Datalekken (en privacy!)

Privacybeleid gemeente Wierden

Een Information Security Management System: iedereen moet het, niemand doet het.

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Raadsbrief. Onderwerp Zelfevaluatie Informatieveiligheid Registratienummer Datum 13 maart 2018 Betreft

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

BIJLAGE 2: BEVEILIGINGSBIJLAGE

rliiiiihihhiiiivi.ilhn

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

UITTREKSEL EN MANAGEMENTRAPPORTAGE. Zelfevaluatie Vragenlijst BRP 2016 van de gemeente Hoogeveen

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Tweede Kamer der Staten-Generaal

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

Transcriptie:

Rapportage Informatiebeveiliging 2018

Titel: Rapportage Informatiebeveiliging 2018 Versie: 0.3 Datum: 3 mei 2019 Auteur(s): I.M.C. Mekers

Inhoudsopgave Samenvatting... 2 1. Inleiding... 3 2. Activiteiten in 2018... 4 2.1 Chief Information Security Officer... 4 2.2 Werkgroep Informatiebeveiliging... 4 2.3 Information Security Management System... 4 2.4 Aansluiting bij de Informatiebeveiligingsdienst... 4 2.5 Informatiebeveiligingsbeleid... 4 2.6 Informatiebeveiligingsplan... 5 2.7 Beveiligingsincidenten... 5 2.8 Relatie met privacy... 5 3. Resultaten zelfevaluatie in 2018... 7 3.1 Resultaten zelfevaluatie BIG... 7 3.2 Resultaten per stelsel... 8 3.2.1 Zelfevaluaties BRP en PUN... 8 3.2.2 Zelfevaluatie Suwinet... 9 3.2.3 Zelfevaluatie DigiD... 10 3.2.4 Zelfevaluatie BAG... 10 3.2.5 Zelfevaluatie BGT... 10 3.2.6 Zelfevaluatie BRO... 11 4. Vooruitblik 2019... 12 4.1 ISMS... 12 4.2 Bewustwording... 12 4.3 Maatregelen invoeren... 12 4.4 Basisregistraties... 12 1

Samenvatting Het college van B&W van gemeente Asten legt jaarlijks verantwoording af over de uitvoering van het informatiebeveiligingsbeleid. Dit rapport bevat die verantwoording. Activiteiten in 2018 In 2018 is op het gebied van informatiebeveiliging het volgende gerealiseerd: Het Informatiebeveiligingsbeleid 2018 2020 en een Verklaring van Toepasselijkheid zijn vastgesteld. Structurele formatie voor de CISO-functie is aanwezig en ingevuld. Het Information Management Security System is uitgebreid om efficiënter verantwoording af te kunnen leggen aan de toezichthouders. Beveiligingsincidenten In 2018 is er één datalek geweest bij Senzer met betrekking tot Astense burgers. Bij gemeente Asten zijn twee datalekken geweest. In alle gevallen is melding gedaan bij de Autoriteit Persoonsgegevens en in voorkomende gevallen zijn de betrokkenen geïnformeerd. Zelfevaluaties Gemeenten moeten richting de Rijksoverheid verantwoording afleggen over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI): Voor BRP en PUN scoort gemeente Asten op het inhoudelijke deel binnen de gestelde normen. Het beveiligingstechnische deel scoort wat lager op het gebied van toegangsbeveiliging en organisatie van de beveiliging. Sinds oktober 2018 is gemeente Asten DigiD aansluithouder. Op basis van het auditrapport heeft Logius vastgesteld dat gemeente Asten voldoet aan de voorwaarden DigiD. BAG en BGT scoren voldoende op het inhoudelijke deel. Over het beveiligingstechnische deel heeft geen terugkoppeling plaatsgevonden door de toezichthouder. BRO scoort onvoldoende. Hieraan worden, vanwege het niet verplichte karakter van de zelfevaluatie, door de toezichthouder nog geen consequenties verbonden. De gemeente heeft haar SUWI-taken op het gebied van o.a. de Participatiewet opgedragen aan Senzer. Desondanks blijft de gemeente verantwoordelijk voor Suwinet. Gemeente Asten gebruikt Suwinet Inkijk voor BPR-(adres)onderzoeken. In beide gevallen is door een externe IT-auditor vastgesteld dat wordt voldaan aan het gestelde normenkader. Vooruitblik 2019 Activiteiten voor 2019: In combinatie met voorlichting over privacy zal informatiebeveiliging onder de aandacht van de medewerkers worden gebracht om de bewustwording bij hen te vergroten. Het invoeren van de beveiligingsmaatregelen gaat in 2019 verder. Daarnaast zal een aanvang worden gemaakt met de invoer van de Baseline Informatiebeveiliging Overheid. Gegevens zijn één van de belangrijkste bedrijfsmiddelen van de gemeente. Aandacht voor de kwaliteit, actualiteit en compleetheid van de basisregistraties is daarom van groot belang. Speciale aandacht is nodig voor de implementatie van de BRO. 2

1. Inleiding Informatiebeveiliging is een actueel thema. De informatieveiligheid staat vanuit vele kanten onder druk en het aantal dreigingen neemt dagelijks toe. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie. Informatieveiligheid is daarom van groot belang! Het begrip informatiebeveiliging heeft betrekking op: - Beschikbaarheid: het zorgdragen voor het beschikbaar zijn op de juiste tijd en plaats - van informatie en informatieverwerkende bedrijfsmiddelen. - Integriteit: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. - Vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. In de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente hebben de Nederlandse gemeenten uitgesproken hun informatiebeveiliging in te richten op een gestandaardiseerde en transparante wijze. Het college van B&W legt over het jaar 2018 verantwoording af over de status van informatiebeveiliging. In 2017 hebben alle gemeenten voor de eerste keer de verantwoording aan hun eigen toezichthouder, de raad, en de toezichthouders van het Rijk via de ENSIA systematiek uitgevoerd. ENSIA staat voor Eenduidige Normatiek Single Information Audit. ENSIA neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt. Vanuit deze horizontale (gemeentebrede) zelfevaluatie wordt eveneens de verantwoording aan de stelselhouders bij het Rijk afgeleid, de zogenaamde verticale verantwoording. De scope van ENSIA is als volgt: Implementatie Baseline Informatiebeveiliging Gemeenten (BIG) Basisregistratie Personen (BRP) Paspoortuitvoeringsregeling Nederland (PUN) Digitale persoonsidentificatie (DigiD) Basisregistratie Adressen en Gebouwen (BAG) Basisregistratie Grootschalige Topografie (BGT) Basisregistratie Ondergrond (BRO) Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (GeVS/Suwinet) Een verkorte weergave van de uitkomsten treft u aan in deze rapportage en de bijbehorende infographic Informatiebeveiliging 2018. 3

2. Activiteiten in 2018 In de volgende paragrafen wordt beschreven wat er in 2018 organisatiebreed op het gebied van informatiebeveiliging is gerealiseerd. 2.1 Chief Information Security Officer De Chief Information Security Officer (CISO) is verantwoordelijk voor de coördinatie van en advisering over informatiebeveiliging. Aanvankelijk is deze CISO-functie tijdelijk ingevuld. Vanaf 1 maart 2018 is structurele formatie aanwezig en ingevuld. Daarmee heeft informatiebeveiliging een vaste plaats binnen de organisatie gekregen. 2.2 Werkgroep Informatiebeveiliging De BIG kent 11 aandachtsgebieden die een rol spelen in de informatiebeveiliging. Uiteraard speelt ICT hierin een grote rol, maar ook personeelsbeleid, gebouwenbeheer, procesbewaking en controlemechanismen zijn belangrijke schakels. In de werkgroep Informatiebeveiliging zijn verschillende vakdisciplines vertegenwoordigd. Door in werkgroepverband de informatiebeveiliging aan te pakken wordt bevorderd dat alle relevante aspecten in beeld zijn en dat maatregelen en acties in onderlinge samenhang worden beoordeeld. 2.3 Information Security Management System Als ondersteunende tool wordt een Information Security Management System (ISMS) gebruikt. Hiermee kunnen de BIG-maatregelen worden beheerd en gemonitord. De evaluatie van deze maatregelen moet ingebed gaan worden in de organisatiebrede P&C-cyclus. In 2018 is het ISMS uitgebreid met een ENSIA-module. Hiermee kan de gemeente efficiënter verantwoording afleggen aan het ministerie. 2.4 Aansluiting bij de Informatiebeveiligingsdienst De Informatiebeveiligingsdienst (IBD) is een onderdeel van VNG Realisatie. Zoals de meeste Nederlandse gemeenten is gemeente Asten aangesloten bij de IBD. De IBD ondersteunt en adviseert gemeenten op het gebied van informatiebeveiliging. Daarnaast geven zij informatie over mogelijke bedreigingen. De IDB onderhoudt contacten met het Nationaal Cyber Security Centrum (NCSC) dat op zijn beurt weer in verbinding staat met gelijksoortige internationale organisaties. 2.5 Informatiebeveiligingsbeleid Het college van B&W heeft in december 2018 het informatiebeveiligingsbeleid vastgesteld. In de periode 2018-2020 zet de gemeente in op drie speerpunten voor doorontwikkeling van informatiebeveiliging. Informatieveiligheid is geborgd in de organisatie Het doel is om in control te zijn op het gebied van informatiebeveiliging. In control zijn betekent dat de gemeente weet welke passende technische en organisatorische maatregelen genomen moeten worden, welke maatregelen er al zijn en welke maatregelen nog moeten worden ingericht. 4

Het belang van informatieveiligheid is voor alle doelgroepen duidelijk Mensen zijn de sleutel tot informatiebeveiliging. Voor een beveiligingsincident dat uitmondt in een datalek is vaak niet meer nodig dan een klik op een verkeerd linkje, een verkeerd geadresseerde e-mail met gegevens over een burger, een verloren laptop of het uitlenen van een toegangspas. Dit risico kan alleen beheerst worden als dag-in-dag-uit gewerkt wordt aan bewustzijn van medewerkers, als medewerkers veilige tools en procedures ter beschikking hebben om hun werk te doen en als bestuurders zelf het goede voorbeeld geven. De P&C-cyclus voor informatieveiligheid is ingericht De implementatie van informatiebeveiliging is een continu proces. Omgevingsfactoren en navenante bedreigingen en kwetsbaarheden die deze met zich mee kunnen brengen, veranderen voortdurend. 2.6 Informatiebeveiligingsplan Op basis van het informatiebeveiligingsbeleid gaat jaarlijks een informatiebeveiligingsplan opgesteld worden. Hierin wordt aangegeven op welke wijze de informatiebeveiliging wordt verbeterd en welke tijdsplanning hierbij gehanteerd gaat worden. Een belangrijk punt voor 2019 is de implementatie van de Baseline Informatiebeveiliging Overheid (BIO). 2.7 Beveiligingsincidenten Beveiligingsincidenten zijn gebeurtenissen die inbreuk maken op de informatieveiligheid. Dat kan van alles zijn: verlies of verminking van gegevens, storingen op systemen, ongeautoriseerde inzage van gegevens. Deze incidenten kunnen veroorzaakt worden door menselijk handelen, door bewuste inbreuken zowel van binnenuit als van buitenaf of door het uitvallen van techniek bij onszelf of bij partners. Het aantal beveiligingsincidenten over 2018 is tot een minimum beperkt gebleven. Uitval van systemen heeft zich nauwelijks voorgedaan. Langdurige uitval (meer dan één uur) is helemaal niet voorgekomen. Storingen zijn beperkt gebleven tot deelsystemen. Door de IBD zijn we regelmatig gewaarschuwd voor mogelijke bedreigingen van buitenaf. De bekendste dreigingen waren zwakheden in chips die in nagenoeg alle computers en systemen voorkomen en een phishing campagne gericht op gebruikers van DigiD. Geen enkele van deze bedreigingen heeft daadwerkelijk invloed gehad op onze systemen en onze informatieverwerking. Gemeente Asten heeft in 2018 drie keer te maken gehad met een datalek. Deze vonden twee keer plaats in de verwerking binnen gemeente Asten en één keer in de verwerking binnen de gemeenschappelijke regeling Senzer. Van deze datalekken is conform de geldende richtlijnen melding gemaakt bij de Autoriteit Persoonsgegevens. In voorkomende gevallen zijn de betrokkenen geïnformeerd. 2.8 Relatie met privacy Met de komst van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 is privacy volop in de schijnwerpers komen te staan. Privacy heeft alleen betrekking op persoonsgegevens, waarbij dat begrip overigens ook heel ruim is. Zo kan het kenteken van een auto beschouwd worden als een persoonsgegeven als het herleidbaar is tot een individueel 5

persoon. Informatiebeveiliging heeft een breder aandachtsgebied. De beveiliging is bijvoorbeeld ook gericht op de bedrijfscontinuïteit en beperkt zich niet tot uitsluitend persoonsgegevens. Toch is het niet vreemd dat privacy en informatiebeveiliging vaak in één adem worden genoemd. Een aantal beveiligingsmaatregelen is van directe invloed op het waarborgen van de privacy. Omgekeerd dragen privacy vereisten - zoals het afsluiten van verwerkersovereenkomsten - bij aan verhoging van de informatiebeveiliging. Informatiebeveiliging en privacy worden binnen gemeente Asten daarom in samenhang opgepakt. 6

3. Resultaten zelfevaluatie in 2018 3.1 Resultaten zelfevaluatie BIG Onderwerpen uit de BIG zijn: Beveiligingsbeleid Organisatie van de informatiebeveiliging Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Logische toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beveiligingsincidenten Bedrijfscontinuïteit Naleving In december 2018 heeft het college van B&W de Verklaring van Toepasselijkheid (VvT) vastgesteld. De VvT geeft een overzicht van de stand van zaken met betrekking tot de invoering van de BIG-maatregelen per november 2018. Status BIG-maatregelen per november 2018 10% 20% 38% Volledig geïmplementeerd Deels geïmplementeerd Gepland Geaccepteerd risico 32% In totaal kent de BIG ruim 130 maatregelen. Bovenstaande grafiek geeft weer in hoeverre de maatregelen zijn geïmplementeerd. Een deel (38%) van de maatregelen is volledig ingevoerd en 32% van de maatregelen is gedeeltelijk geïmplementeerd. Dit laatste wil zeggen dat ze slechts in een deel van de organisatie ofwel tot op zeker hoogte zijn ingevoerd. Daarnaast is 20% van de maatregelen in zijn geheel (nog) niet ingevoerd. Een klein deel van de maatregelen (10%) wordt beschouwd als een geaccepteerd risico. 7

De BIG-maatregelen vallen globaal in drie categorieën uiteen. In de eerste plaats kent de BIG maatregelen die een direct beschermend karakter hebben. Denk daarbij aan het gebruik van wachtwoorden, het afsluiten van kwetsbare ruimtes, het maken van dagelijkse back-ups en het scannen van e-mail op virussen en andere bedreigingen. In deze categorie zijn al veel maatregelen doorgevoerd, maar deze kunnen op onderdelen nog aangescherpt worden. Daarnaast wijzigen de dreigingen van buitenaf continu, zodat een herbeoordeling van de effectiviteit van de maatregelen nodig blijft. De tweede categorie betreft procedurele maatregelen. Daarbij gaat het om afspraken binnen en tussen teams. Deze afspraken zijn er in veel gevallen wel, maar zijn niet altijd geformaliseerd en vastgelegd. Ten slotte is er nog een categorie maatregelen die te maken heeft met monitoring van en controle op de uitvoering van processen. Het afleggen van verantwoording in termen van meetbare resultaten moet verbeterd worden. Uit de VvT blijkt dat gemeente Asten nog stappen moet zetten om volledig te voldoen aan de normen. Op onderdelen zullen aanvullende beveiligingsmaatregelen nodig zijn, omdat daar hogere risico s bijvoorbeeld in verband met privacy gelden. Maar vanwege het tempo van technische ontwikkelingen en de menselijke factor is 100% informatieveiligheid een illusie. 3.2 Resultaten per stelsel Via de ENSIA systematiek is verantwoording afgelegd aan het Rijk. In de volgende paragrafen wordt per zelfevaluatie een toelichting gegeven. De bijbehorende rapportages zijn als bijlagen opgenomen bij deze rapportage. 3.2.1 Zelfevaluaties BRP en PUN De Basisregistratie Personen (BRP) is onderdeel van het stelsel van basisregistraties van de Nederlandse overheid. De Nederlandse overheid registreert persoonsgegevens in de BRP. Alle overheidsinstellingen en bestuursorganen (zoals de Belastingdienst) zijn verplicht voor hun taken gebruik te maken van die gegevens. Het gaat daarbij onder andere om naam, geboortedatum, geboorteplaats, verblijfplaats en familierelaties. Met deze gegevens wordt bijvoorbeeld een paspoort en identiteitskaart verstrekt of wordt de hoogte van een studietoelage berekend. Voor het uitgeven van paspoorten hebben gemeenten met betrekking tot. wetgeving te maken met de Paspoortuitvoeringsregeling Nederland 2001 (PUN). Jaarlijks moeten gemeenten verantwoording afleggen over het gebruik van de BRP en de PUN. Met de komst van ENSIA is het inhoudelijke deel afgesplitst van het beveiligingstechnische deel. Het inhoudelijke deel, dat onder andere kijkt naar de kwaliteit van de persoonsgegevens in het BRP en de inrichting van de verwerkingsprocessen, wordt door de vakafdeling uitgevoerd. Het beveiligingstechnische deel wordt op basis van de BIG-richtlijnen uitgevraagd. 8

De zelfevaluaties BRP 1 en PUN 2 zijn ingediend zodat de externe toezichthouder (het ministerie van Binnenlandse zaken en Koninkrijkszaken) zich hierover een oordeel kan vormen. Op het inhoudelijke deel van de zelfevaluaties scoort gemeente Asten binnen de gestelde normen. Het ENSIA-deel van de PNIK-vragenlijst voor de zelfevaluatie PUN scoort op het onderdeel toegangsbeveiliging wat lager, namelijk 89,9%. Het ENSIA deel van de BRP-vragenlijst scoort op het onderdeel organisatie van de beveiliging wat lager, namelijk 81,2%. Ten opzichte van de BRPzelfevaluatie 2017 is er een substantiële stijging in het percentage geïmplementeerde maatregelen merkbaar. 3.2.2 Zelfevaluatie Suwinet Suwinet is het systeem voor informatie-uitwisseling in de keten van werk en inkomen. Suwinet wordt beschikbaar gesteld onder bepaalde voorwaarden, de SUWI verantwoordingsrichtlijn. De SUWI Verantwoordingsrichtlijn bevat het normenkader met de normen waaraan de beveiliging van de Gegevensuitwisseling elektronische Voorziening Suwinet (GeVS) moet voldoen. De verantwoording aan de toezichthouder is gebeurd via een collegeverklaring 3 en bijlage 4 in voorgeschreven format. Onze externe auditor heeft deze beoordeeld en gewaarmerkt. Daarnaast heeft hij een assurance-rapport 5 opgesteld waarin staat dat de verklaring een juist beeld geeft van de werkelijkheid. Gemeenschappelijke regeling Senzer De gemeente heeft haar SUWI-taken op het gebied van de Participatiewet, IOAW en IOAZ opgedragen aan de gemeenschappelijke regeling Senzer als uitvoerend lichaam (mandaat). Desondanks blijft de gemeente verantwoordelijk voor Suwinet. In 2017 voldeed Senzer niet aan het gestelde normenkader. Senzer heeft de geconstateerde tekortkomingen in 2018 opgepakt. Ook in 2018 heeft Senzer een audit laten uitvoeren door een gecertificeerde IT-auditor. De zogenaamde Third Party Memorandum (TPM) die door de auditor is opgesteld laat zien dat Senzer aan het normenkader voldoet. Daardoor voldoet gemeente Asten (als verantwoordelijke) ook aan de normen. Burgerzaken Gemeente Asten gebruikt Suwinet Inkijk binnen Burgerzaken voor BRP-(adres)onderzoeken. In 2017 voldeed gemeente Asten niet aan het normenkader. Gemeente Asten heeft de geconstateerde tekortkomingen in 2018 opgepakt. Ook in 2018 heeft onze externe IT-auditor een audit uitgevoerd op het gebruik van Suwinet Inkijk en heeft geconstateerd dat gemeente Asten aan het normenkader voldoet. 1 Uittreksel zelfevaluatie BRP 2 Uittreksel zelfevaluatie PNIK 3 Collegeverklaring ENSIA 2018 inzake Informatiebeveiliging Suwinet 4 Bijlage bij collegeverklaring ENSIA 2018 inzake Informatiebeveiliging Suwinet 5 Assurance-rapport 9

3.2.3 Zelfevaluatie DigiD Sinds oktober 2018 is gemeente Asten DigiD aansluithouder. Binnen 2 maanden nadat de aansluiting is geactiveerd is een assessmentrapportage ingediend. Logius heeft op basis van het auditrapport vastgesteld dat gemeente Asten heeft voldaan aan de voorwaarden DigiD. In de eerste 14 maanden na activatie hoeft geen zelfevaluatie over de aansluiting uitgevoerd te worden. 3.2.4 Zelfevaluatie BAG Met het formeel van kracht worden van de gewijzigde Wet BAG in 2018 is de zelfcontrole BAG met ingang van 1 juli 2018 een wettelijke verplichting voor gemeentelijke bronhouders BAG. Aan de hand van de vragenlijst is de zelfevaluatie BAG uitgevoerd. Op grond daarvan is de verantwoordingsrapportage 6 opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BAG door de lijnverantwoordelijken levert een puntenscore op van 195 uit het maximaal aantal te behalen punten van 205. Deze score is te beoordelen als goed. 90 80 70 60 50 40 30 20 10 0 Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score Score gemeente Asten ten opzichte van de maximale score BAG 3.2.5 Zelfevaluatie BGT Op basis van de Wet BGT is in het kader van horizontale en verticale verantwoording een methode van zelfcontrole ingevoerd. Over 2018 is de ENSIA BGT zelfcontrole een wettelijke verplichting. Aan de hand van de vragenlijst is de zelfevaluatie BGT uitgevoerd. Op grond daarvan is de verantwoordingsrapportage 7 opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BAG door de lijnverantwoordelijken levert een puntenscore op van 140 uit het maximaal aantal te behalen punten van 150. Deze score is te beoordelen als goed. 6 Verantwoordingsrapportage BAG 2018 7 Verantwoordingsrapportage BGT 2018 10

80 70 60 50 40 30 20 10 0 Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score Score gemeente Asten ten opzichte van de maximale score BGT 3.2.6 Zelfevaluatie BRO In navolging van de basisregistraties BAG en BGT wordt in het kader van horizontale en verticale verantwoording ook voor de basisregistratie BRO een methode voor zelfcontrole ingevoerd. De zelfcontrole over 2018 is nog niet wettelijk verplicht, maar door de toezichthouder wordt wel verwacht dat deze wordt uitgevoerd. Aan de hand van de vragenlijst is de zelfevaluatie BRO uitgevoerd. Op grond daarvan is de verantwoordingsrapportage 8 opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BRO door de lijnverantwoordelijken levert een puntenscore op van 20 uit het maximaal aantal te behalen punten van 120. Deze score is te beoordelen als onvoldoende. Hieraan worden, vanwege het niet verplichte karakter van de zelfevaluatie, door de toezichthouder nog geen consequenties verbonden. 80 70 60 50 40 30 20 10 0 Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score Score gemeente Asten ten opzichte van de maximale score BRO 8 Verantwoordingsrapportage BRO 2018 11

4. Vooruitblik 2019 In de voorgaande hoofdstukken is beschreven wat er in 2018 organisatiebreed op het gebied van informatiebeveiliging is gerealiseerd en wat de resultaten van de zelfevaluaties zijn. In dit hoofdstuk wordt kort aangegeven waar de acties in 2019 liggen. 4.1 ISMS Het ISMS zal verder worden ingezet als beheerinstrument. Op dit moment is het vooral een tool voor de CISO, maar in de toekomst zullen ook andere actiehouders (zoals P&O en gebouwenbeheer) het ISMS gaan gebruiken voor het beheer van de voor hen relevante beveiligingsmaatregelen. De leverancier van ons ISMS gaat aanpassingen doorvoeren om de tool gereed te maken voor de BIO. Daarnaast worden speciale voorlichtings- en opleidingsdagen georganiseerd met uitleg en begeleiding van de te nemen conversiestappen. 4.2 Bewustwording De schade als gevolg van inbreuken op de informatieveiligheid loopt voor de Nederlandse gemeenten jaarlijks in de miljoenen euro s. Meer dan een kwart van die inbreuken is een gevolg van menselijk handelen. Het gaat dan om dingen die gebruikers doen of juist nalaten, door onwetendheid of doordat men zich niet bewust is van risico s. Op dit vlak is dus veel winst te behalen. In combinatie met voorlichting over privacy zal informatiebeveiliging regelmatig onder de aandacht van de medewerkers worden gebracht. Het heeft weinig zin om veel geld en inspanning te spenderen aan het inrichten van allerlei technische maatregelen als het menselijk handelen in de beveiligingsketen geen aandacht krijgt. 4.3 Maatregelen invoeren Het invoeren van de maatregelen gaat in 2019 verder. Dit betekent niet dat alle maatregelen ook tot in de volle breedte in 2019 ingevoerd zullen zijn. Daar is het aantal maatregelen te omvangrijk voor en bovendien speelt hierin ook een kostenaspect. De BIO is per 2020 de opvolger van de BIG waarbij het jaar 2019 als overgangsjaar is ingesteld. Het grote verschil tussen de BIG en BIO is dat de BIO op de meest actuele versie van ISO 27002 is gebaseerd en dat de BIO meer ruimte geeft voor het treffen van passende maatregelen op basis van risicomanagement. In 2019 zal een aanvang worden gemaakt met de implementatie van de BIO. Hierbij wordt gebruik gemaakt van de ondersteuning van de IBD en de leverancier van ons ISMS. 4.4 Basisregistraties Gegevens vormen de bouwstenen waaruit informatie voor de sturing, beheersing en uitvoering van de gemeentelijke processen wordt geproduceerd. Gegevens zijn hiermee één van de belangrijkste bedrijfsmiddelen van de gemeente en dienen daarom ook zo behandeld te worden. De kwaliteit, actualiteit en compleetheid van de basisregistraties is van groot belang. 12

Basisregistratie Personen en Paspoortuitvoeringsregeling Nederland Bij het implementeren van de BIG/BIO-maatregelen moet ten behoeve van de BRP en de PUN specifiek aandacht zijn voor toegangsbeveiliging en organisatie van de beveiliging. Basisregistratie Adressen en Gebouwen Aandacht voor gegevensaanlevering blijft belangrijk. De huidige manier van aanlevering kan in de toekomst zorgen voor een lager percentage tijdige verwerking. Basisregistratie Grootschalige Topografie Door uitbesteding en decentralisatie van taken en door versnippering van het applicatielandschap wordt het moeilijker om grip te houden op de processen. Directe communicatie is niet altijd meer mogelijk en geautomatiseerde berichtverwerking ontbreekt. Dit stelt extra eisen aan processen en de controles daarop. Basisregistratie Ondergrond In 2019 zal de BRO verder geïmplementeerd gaan worden. Naar verwachting zal het voor gemeente Asten hoofdzakelijk een aanpassing zijn in het inkooptraject en het Programma van Eisen voor opdrachten die worden uitgezet in de markt. Vervolgens moet goed opdrachtgeverschap in het proces geborgd worden zodat de juiste gegevens worden opgenomen in de landelijke voorziening. 13

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback