WIL 2 0 JUNI 2014. Werk en Inkomen Lekstroom TA IV. 1. 20 jun 2014/1001. Gemeente Usselstein T.a.v. het College van B&W Postbus 26 3400 AA USSELSTEIN



Vergelijkbare documenten
2015; definitief Verslag van bevindingen

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Aan welke eisen moet het beveiligingsplan voldoen?

i\ r:.. ING. 1 8 FEB 2016

College bescherming persoonsgegevens

Norm 1.3 Beveiligingsplan

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

rliiiiihihhiiiivi.ilhn

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Verbeterplan Suwinet

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Postbus 1 30 AA Bezoekadres Stadsplein 1 34:1 LZ zww.nieuwegein.nl IBAN: NL49 BNGH BIC: BNGHNL2G

College bescherming persoonsgegevens

illinium i ui /12/2013

il'-'ih'li-l'li'-ihih

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Introductie Suwinet en ENSIA

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

Knoppenmodel Transparantie naar burger Toekomstvisie

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

Handreiking Nieuwe Suwi Autorisaties

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Verantwoordingsrichtlijn GeVS 2019 (versie )

Informatie over logging gebruik Suwinet-Inkijk

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen

Toegangsrechten voor Suwinet-Inkijk

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

College bescherming persoonsgegevens. Onderzoek gebruik Suwinet door niet-suwipartijen Gemeente s-hertogenbosch

Programmaplan Borging Veilige Gegevensuitwisseling Suwinet

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Beveiligingsnota Suwinet 2014

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

Lees onderstaande informatie eerst aandachtig door voorafgaand aan de zelftest

Convenant inzake de samenwerking op grond van art. 64 Wet SUWI

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Toelichting Suwinet-Inkijk

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

Beveiligingsplan. SUWI inkijk. Gemeente Boxtel / Gemeente Haaren

Procedure aansluiting Suwinet Services

Toegangsrechten voor Suwinet-Inkijk

BRONPAGINA OVERZICHTSPAGINA ZOEKPAGINA OVERIGE. Terugvordering&Verhaal. Kostendelerstoets. Rechtmatigheid+ Re-integratie.

ons kenmerk ECSD/U Lbr. 14/091

Tweede Kamer der Staten-Generaal

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Vervolgonderzoek Beveiliging en privacy in de SUWI-keten. Nota van bevindingen

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

veilig omgaan met elkaars gegevens

Beveiliging en privacy in de SUWIketen

Gezien het voorstel van het college van burgemeester en wethouders van Son en Breugel, van

Factsheet. Uitleg over bescherming van persoonsgegevens De cliëntenraad aan zet

College bescherming persoonsgegevens

ons kenmerk BAWI/U Lbr. 07/132

4. Gedragsregels bij beveiliging van persoonsgegevens 7

UB/S/2007/12795/ / /193 T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

ons kenmerk ECSD/U Lbr. 14/091

Cools, Luuk

Beveiligingsplan Suwinet, Kolom Werk en Inkomen 2018

Het kan makkelijker!

Toegangsrechten voor Suwinet-Inkijk

Burgemeester en wethouders van de gemeente Stadskanaal;

Rekenkamercommissie Brummen

Toegangsrechten voor Suwinet-Inkijk

Toegangsrechten voor Suwinet-Inkijk

Sociale Zaken en Werkgelegenheid ONS KENMERK z van de Tweede Kamer der Staten Generaal

Raadsmededeling - Openbaar

Reglement bescherming persoonsgegevens Nieuwegein

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Verantwoordingsrichtlijn

In dit informatiebulletin zal worden ingegaan op een specifiek onderdeel van de nieuwe fraudewet, namelijk het Frauderegister.

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Handreiking Whitelist en Escapefunctie Suwinet-Inkijk. voor het gemeentelijk domein Werk en Inkomen

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Transcriptie:

20 jun 2014/1001 Werk en Inkomen Lekstroom Houten I Usselstein Lopik Nieuwegein Vianen Gemeente Usselstein T.a.v. het College van B&W Postbus 26 3400 AA USSELSTEIN Nieuwegein, 19 juni 2014 CL.NR.: 2 0 JUNI 2014 0(1 TA IV. 1 Ons kenmerk: DIR/17009/2014 Uw kenmerk: Betreft: SUWl Beveiligingsplan SEKT. AFD./AMBT. i Geacht college, Met de verdergaande digitalisering wisselen de uitvoeringsorganisaties UWV en SVB en gemeenten onderling steeds meer gegevens uit. Hierdoor nemen ook de risico's ten aanzien van gegevensuitwisseling toe. Het is daarom van groot belang dat de bescherming van persoonsgegevens, de borging van gegevenskwaliteit op orde zijn en de burger transparantie wordt geboden over de uitwisseling en verwerking van zijn persoonsgegevens. Suwinet is de sleutel tot persoonsgegevens van burgers en de voorziening waarmee de Suwi-partijen gegevens met elkaar uitwisselen. Burgers en overheid mogen er op rekenen dat hun gegevens veilig zijn. Het Bureau Keteninformatisering Werk en Inkomen biedt Suwinet-inkijk en -Inlezen aan, maar gemeenten zijn zelf verantwoordelijk voor een zorgvuldig gebruik en een goede beveiliging. Eind 2013 heeft de Inspectie SZW de resultaten bekend gemaakt van een onderzoek naar de wijze waarop gemeenten omgaan met persoonsgegevens die zij opvragen via Suwinet. De inspectie heeft 80 gemeenten bevraagd op het voldoen aan 7 normen uit het Suwi- normenkader. Aan alle normen uit het normenkader van Suwi moeten gemeenten (al jarenlang) voldoen Uit de resultaten bleek, dat slechts 4 procent van de gemeenten voldeed aan alle eisen op dit gebied. Het College Bescherming Persoonsgegevens, de Tweede Kamer en de VNG hebben geschokt gereageerd en eisten een verbetering. Mede op uw verzoek heeft de eigen Suwinet beveiligingsmethodiek nog eens tegen het licht gehouden en in het verlengde hiervan het bijgaande Suwinet beveiligingsplan opgesteld. Met dit document en de uitvoering van de erin opgenomen maatregelen voldoet aan de (wettelijke) eisen die aan de beveiliging van het Suwinet en haar gegevens worden gesteld alsmede aan de eisen die de inspectie SZW daaraan stelt. stadsplein 1B, 3431 LZ Nieuwegein Rastbus 2708, 3430 GC Nieuwegein j 1030-702 23 00 < info@wil-lekstroom.nl i www.wil-lekstioom.nl KvK 57354944 IBAN NL51BNCH028S158872

Dit plan met de bijlagen is op 23 mei 2014 door het Dagelijks en Algemeen bestuur van vastgesteld. De GR heeft met het plan ingestemd (zie reactie GR in bijlage). Bij deze verzoek ik u het SUWl beveiligingsplan ook in uw college vast te stellen en uw gemeenteraad van dit plan en uw besluit in kennis te stellen; de wet schrijft deze dubbele procedure voor. Bij voorbaat dank. Hoogachtend, Mede namens/hifet bestuur van, Rob Directeur en Inkomen Lekstroom

Werk en Inkomen Lekstroom Houten I Usselstein Lopik NlMlwogtln Vtanm Suwi beveiligingsplan 2014 Auteur Wim Janssen Voor vragen naar aanleiding van dit document kunt u terecht bij: Wim Janssen Beleidsmedewerker 030-7022440

Verklarende woorden en gebruikte afkortingenlijst AB BIG BKWI BRP DB DKD GBA GeVS IB KING MT RDW SUWI Suwinet Suwinet-inkijk Suwipartijen SVB SZW UWV VNG WBP WEU WW WWB Algemeen Bestuur van Baseline Informatiebeveiliging Nederlandse gemeenten Bureau Keteninformatisering Werk en Inkomen. Het beheer en ontwikkeling van Suwinet wordt uitgevoerd door het BKWI. Wet basisregistratie personen. Dagelijks Bestuur van. Digitaal Klant Dossier. Gemeentelijke Basisadministratie Personen (Vervangen door BRP miv 6-1-2014). Gezamenlijke elektronische voorzieningen Suwinet ook wel Suwinetinkijk. Inlichtingenbureau. Kwaliteitsinstituut Nederlandse Gemeenten. Managementteam van Beheerder van de basisregistratie voertuigen in Nederland. Wet Structuur uitvoeringsorganisatie werk en inkomen. De voorziening waarmee Suwipartijen gegevens met elkaar uitwisselen. Met de Suwinet-inkijk kunnen medewerkers de persoonsgegevens inzien. UWV, de SVB en de gemeentelijke sociale diensten. Sociale Verzekeringsbank. Ministerie van Sociale zaken en Werkgelegenheid. Uitvoeringsinstituut Werknemersverzekeringen. Vereniging van Nederlandse Gemeenten. Wet bescherming persoonsgegevens. Wet eenmalige gegevensuitvraag werk en inkomen. Gemeenschappelijke Regeling Werk & Inkomen Lekstroom. Werkloosheidswet. Wet werk en bijstand. Projectteam: Bert Goes Bert Vreman Roy Tuenter Sylvia Slegt Wim Janssen Suwi beveiligingsplan 2014 def.

Samenvatting Met de verdergaande digitalisering wisselen de uitvoeringsorganisaties UWV en SVB en gemeenten onderling steeds meer gegevens uit. Hierdoor nemen ook de risico's ten aanzien van gegevensuitwisseling toe. Het is daarom van groot belang dat de bescherming van persoonsgegevens, de borging van gegevenskwaliteit op orde zijn en de burger transparantie wordt geboden over de uitwisseling en verwerking van zijn persoonsgegevens. Suwinet is de sleutel tot persoonsgegevens van burgers en de voorziening waarmee de Suwi-partijen gegevens met elkaar uitwisselen. Burgers en overheid mogen er op rekenen dat hun gegevens veilig zijn. Het Bureau Keteninformatisering Werk en Inkomen biedt Suwinet-inkijk en -Inlezen aan, maar gemeenten zijn zelf verantwoordelijk voor een zorgvuldig gebruik en een goede beveiliging. Eind 2013 heeft de Inspectie SZW de resultaten bekend gemaakt van een onderzoek naar de wijze waarop gemeenten omgaan met persoonsgegevens die zij opvragen via Suwinet. De inspectie heeft 80 gemeenten bevraagd op het voldoen aan 7 normen uit het Suwinormenkader. Aan alle normen uit het normenkader van Suwi moeten gemeenten (al jarenlang) voldoen Uit de resultaten bleek, dat slechts 4 procent van de gemeenten voldeed aan alle eisen op dit gebied. Het College Bescherming Persoonsgegevens, de Tweede Kamer en de VNG hebben geschokt gereageerd en eisen een verbetering. maakt bij de uitvoering van de WWB, loaw, en loaz gebruik van het Suwinet. Bij de start van is aan de opzet van het Suwinet beveiligingsmethodiek en het Suwinet beveiligingsplan geen aandacht besteed. In 2014 is door een verbeterslag gemaakt en is door een projectgroep een Suwibeveiligingsplan opgesteld. Met dit document en de uitvoering van de erin opgenomen maatregelen voldoet aan de (wettelijke) eisen die aan de beveiliging van het Suwinet en haar gegevens worden gesteld alsmede aan de eisen die de inspectie SZW daaraan stelt. Suwi beveiligingsplan 2014 def.

Inhoudsopgave Onderwerp Pagina Verklarende woorden en gebruikte afkortingenlijst 2 Samenvatting 3 Inhoudsopgave 4 1 Inleiding 5 1.1 Toepasselijke wet en regelgeving 5 1.2 Suwinet en Suwinet inkijk 5 1.3 Gegevens van burgers 6 1.4 Verantwoordelijkheden informatieveiligheid 6 2. Reikwijdte Suwi-beveiligingsplan 6 2.1 Wettelijke basis beveiligingsplan 7 3 Uitvoering beveiligingsbeleid 7 3.1 Accordering Suwi-beveiligingsplan 7 3.2 Het informatiebeveiligingsbeleid en het beveiligingsplan worden uitgedragen 7 3.3 Jaarlijkse evaluatie beveiligingsbeleid en beveiligingsplan 8 3.4 De functies voor uitvoering van taken, beheer van autorisaties, controle op het gebruik Suwinet en taken van het management; 8 3.5. Een Security OfTicer is aangesteld 8 3.5.1. De taken van de security officer 9 3.6. Autorisatieprocedure 9 3.7 Controle op toegang en gebruik Suwinet 10 4. Slotbepalingen 10 4.1 Noodprocedure 10 4.2 Reikwijdte gebruik gegevens 4.3 Verantwoording 4.4 Prioritering beveiligingsplannen 4.5 Citeertitel 4.6 Inwerkingtreding Bijlagen Notitie Aanwijzing Security officer Autorisatiematrix met toelichting Geheimhoudingsverklaring medewerkers Suwi beveiligingsplan 2014 def.

1 Inleiding Suwinet is de sleutel tot persoonsgegevens van burgers en de voorziening waarmee Suwipartijen UWV, de SVB en gemeentelijke sociale diensten gegevens met elkaar uitwisselen. Uitvoerend medewerkers kunnen via Suwinet binnen enkele seconden beschikken over de relevante gegevens van hun cliënt. Dit draagt bij aan het doel van de wet Suwi: klantgerichte dienstverlening en een doelmatige en kostenbesparende uitvoering van de sociale zekerheid. De instandhouding van Suwinet is bij wet opgedragen aan de Suwipartijen. Het beheer van Suwinet en de ontwikkeling daarvan wordt uitgevoerd door het BKWI. Eind 2013 heeft de Inspectie SZW de resultaten bekend gemaakt van een onderzoek naar de wijze waarop gemeenten omgaan met persoonsgegevens die zij opvragen via Suwinet. De inspectie SZW kwam op basis van haar bevindingen tot de conclusie dat 4% van de onderzochte gemeenten voldoende waarborgen heeft getroffen om te voldoen aan de eisen van vertrouwelijkheid die worden gesteld aan de beveiliging van informatie die wordt uitgewisseld binnen het Suwinet in 2012. wenst in 2014 te gaan voldoen aan de eisen die gesteld worden aan een rechtmatig gebruik van het Suwinet en aan de eisen die de inspectie SZW daaraan stelt. 1.1 Toepasselijke wet- en regelgeving Op het verzamelen, bewerken en beveiliging van gegevens zijn in dit kader met name de Wet structuurorganisatie uitvoering werk en Inkomen (Wet Suwi), de Regeling SUWI en de Wet Bescherming Persoonsgegevens van toepassing. Toezicht op de uitvoering door de gemeenten van de Wet Suwi is neergelegd bij de Inspectie Werk en Inkomen van het ministerie van SZW. heeft de voor de uitvoering van haar taken noodzakelijke verwerking van persooonsgegevens, gemeld bij het College Bescherming Persoonsgegevens. De melding is bij de CBP ingeschreven onder nummer 1536897. Hiermee heeft voldaan aan de bepalingen daarvoor uit de Wet Bescherming Persoonsgegevens. 1.2 Suwinet en Suwinet inkijk In 2002 is Suwinet opgezet als hét elektronische netwerk voor overheidsorganisaties binnen het domein Werk & Inkomen om gegevens uit te wisselen. De Suwi-partijen zoals in de wet SUWI genoemd zijn: Gemeentelijke Sociale Diensten (GSD), Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank (SVB). Via Suwinet delen organisaties gegevens over klanten met elkaar. Suwinet-inkijk is de applicatie die draait op Suwinet en die de klantgegevens op overzichtelijke wijze toont. Via Suwinet-inkijk verschijnen gegevens vanuit verschillende bronnen digitaal in een paar seconden op het scherm. Het is daarmee een goed hulpmiddel bij de dienstverlening. De sleutel tot die gegevens is het burgerservicenummer van de burger. In zeer bijzondere gevallen, zoals voor bijzonder onderzoek, kunnen persoonsgegevens ook via een andere zoeksleutel worden opgezocht, zoals adres of kenteken. Welke gegevens medewerkers kunnen zien is afhankelijk van hun rol in het proces. De verantwoordelijke beheerder binnen de organisatie kent deze autorisatierollen toe aan medewerkers. Suwi beveiligingsplan 2014 def.

1.3 Gegevens van burgers Via Suwinet zijn zeer veel persoonlijke gegevens van burgers te raadplegen die direct uit de aangesloten bronnen worden gehaald. Enkele voorbeelden: GBA(BRP): de huishoudenssamenstelling en personen die op hetzelfde adres wonen; UWV: de actuele en historische dienstverbanden, hoogte van het loon, de werkgever, omvang dienstverband ed. De actuele en historie van sociale zekerheidsuitkeringen: de duur, de hoogte, fraude en andere gegevens; Gemeentelijke sociale dienst: uitkeringsgegevens, de norm en de hoogte, de duur, fraude, debiteuren ed.; UWV WERKbedrijf: gegevens gerelateerd aan arbeid, opleiding en werk-zoeken; DUO: studiefinanciering, inschrijvingen en afgesloten erkende opleidingen; RDW: gegevens over de auto die op naam staat, motor, scooter en andere door de RDW vastgelegde voertuigen; Belastingdienst: heffingskortingen, toeslagen en bankrekeningnummers; Kadaster: alle daar geregistreerde onroerende goederen en de kenmerken daarvan. 1.4 Verantwoordelijkheden informatieveiligheid Door de groei van Suwinet in aantal gebruikers en bronnen wordt de informatieveiligheid steeds belangrijker. Dit vereist dat : 1. Informatiebeveiligingsbeleid en een informatiebeveiligingsplan heeft en deze zijn vastgesteld door het management en het DB en AB; 2. Het informatiebeveiligingsbeleid en het beveiligingsplan worden uitgedragen; 3. Het informatiebeveiligingsbeleid en het beveiligingsplan jaarlijks worden geëvalueerd; 4. De functies voor uitvoering van taken, beheer van autorisaties, controle op het gebruik Suwinet en taken van het management, zijn vastgelegd; 5. Een Security Officer is aangesteld; 6. Medewerkers die gebruik maken van de Suwinet 'op maat' geautoriseerd zijn op basis van de rollen die BKWI aanbiedt. De rollen zijn vastgelegd in een autorisatiematrix; 7. Controle is op toegang en gebruik Suwinet. 2. Reikwijdte Suwi-beveiligingsplan Op de Algemene ledenvergadering van de Vereniging van Nederlandse Gemeenten in 2013. hebben gemeenten ingestemd met de resolutie over informatiebeveiliging. Het besluit hield in, dat via een route van zelfregulering de Baseline Informatiebeveiliging Nederlandse Gemeenten(BIG) het uitgangspunt wordt voor het structureel verbeteren van informatiebeveiliging. De 7 bovengenoemde normen voor een veilig gebruik van het Suwinet komen één-op-één terug in de BIG. Met het invoeren van de normen werkt ook aan de implementatie van de BIG. Dit beveiligingsplan beperkt zich tot de 7 normen voor een veilig gebruik van het Suwinet. Daarnaast beperkt het plan zich tot de Suwinet-inkijk voor de uitvoering van haar taken door voor de gemeenten Houten, Usselstein. Lopik, Nieuwegein en Vianen. Suwi beveiligingsplan 2014 def.

Voor een beveiligingsplan inzake de Suwinet-inkijk voor de door de gemeente uitgevoerde taken, zoals bijvoorbeeld bij de afdeling Burgerzaken, de afdeling Belastingen, de Regionale sociale recherche en het Regionale meldpunt coördinatie vroegtijdig schoolverlaters dienen de gemeenten zelf zorg te dragen. Beveiliging in het kader van de BIG verdient aandacht en wordt in een afzonderlijk informatie-beveiligingsplan door nader geregeld. 2.1 Wettelijke basis beveiligingsplan Dit document is een beveiligingsplan als bedoeld in artikel 6.4 van de regeling SUWI. Dit artikel luidt: "Artikel 6.4. Beveiliging elektronische voorzieningen SUWI 1. Het UWV, de SVB, de colleges van burgemeester en wethouders, het IB en op de gezamenlijke elektronische voorzieningen SUWI aangesloten niet SUWI-partijen dragen zorg voor de beveiliging van de gegevensuitwisselingen die plaatsvinden in het kader van de gezamenlijke elektronische voorzieningen SUWI, tegen inbreuk op de beschikbaarheid, integriteit en vertrouwelijkheid, overeenkomstig hetgeen over de voor het stelsel van maatregelen en procedures te hanteren normen wordt bepaald in bijlage I ('Stelselontwerp & Beveiliging Gezamenlijke elektronische Voorzieningen SUWI'). 2. Het UWV, de SVB, de colleges van burgemeester en wethouders, het IB en op de gezamenlijke elektronische voorzieningen SUWI aangesloten niet- SUWI- partijen geven ieder in een beveiligingsplan aan op welke wijze zij invulling geven aan het eerste lid. 3. Artikel 5.22 is van overeenkomstige toepassing op het gebruik en de inrichting van de gezamenlijke elektronische voorzieningen SUWI." 3 Uitvoering beveiligingsbeleid 3.1 Accordering Suwi-beveiligingsplan Dit plan met de bijlagen is in april 2014 ter goedkeuring en vaststelling voorgelegd aan het MT van en het Dagelijks en Algemeen bestuur van. Daarnaast wordt dit plan ter vaststelling voorgelegd aan de colleges van de deelnemende gemeenten. De gemeenteraden worden in kennis gesteld. Een kopie van de verslagen van de afzonderlijke organen met de vaststelling van het plan worden ter archivering bij dit plan gevoegd. Dit plan is ter instemming voorgelegd aan de OR. De schriftelijke reactie van de OR is bijgevoegd. 3.2 Het informatiebeveiligingsbeleid en het beveiligingsplan worden uitgedragen Bij de start van de werkzaamheden en procedures die uit dit plan volgen worden de medewerkers van middels bijeenkomsten op de hoogte gesteld. De voorlichting betreft Suwi beveiligingsplan 2014 def.

niet alleen de veiligheidsprocedures, maar ook de op de functie gerichte voorlichting over het gebruik van de Suwinet-inkijk. In de werkoverleggen van de medewerkers wordt het de Suwi-beveiligingsplan twee keer per jaar aan de orde gesteld. De resultaten van de onderzoeken van de Security Officer in deze zijn dan onderwerp van bespreking. Nieuw personeel krijgt bij de indiensttreding bij door HR informatie over dit beveiligingsplan. Voordat zij toegang krijgen tot het Suwinet ondertekenen zij een geheimhoudingsverklaring. Bij het introductieprogramma worden nieuwe medewerkers voorgelicht over het gebruik van de Suwinet-inkijk. 3.3 Jaarlijkse evaluatie beveiligingsbeleid en beveiligingsplan Dit Beveiligingsplan is geen statisch document. De organisatie en de omgeving van de sociale zekerheid is voortdurend in ontwikkeling, onder andere door wijziging in wetgeving of aanpassingen in de informatiesystemen. Dit betekent dat dit plan periodiek moet worden beoordeeld op actualiteit. Jaarlijks in de maand november evalueert het MT aan de hand van de rapportage van de Security Officer het Suwi-beveiligingsplan en past dit zo nodig aan. De evaluatie wordt voorgelegd aan het DB en AB. 3.4. De functies voor uitvoering van taken, beheer van autorisaties, controle op het gebruik Suwinet en taken van het management; Bij dit plan is een overzicht matrix gevoegd met daarin de functies bij met daarbij de autorisatie voor het inzien van de gegevens binnen Suwinet. Op basis van de wettelijke kaders, doelbinding en proportionaliteit zijn voor iedere functie mogelijkheden voor het inzien van gegevens in Suwinet beperkt. Toegang tot de Suwinet-inkijk is alleen voor de in de matrix genoemde medewerkers met de daarin aangegeven autorisatie. De medewerkers van hebben voor de uitvoering van hun taken ook de beschikking over de landelijks database GBA-V (BRP). De functionaliteiten binnen de Suwi-inkijk die gelijk zijn aan de gegevens in de GBA-V (BRP)worden niet ter beschikking gesteld. Bij besluit van het managementteam kunnen in de matrix functies en autorisaties gewijzigd, toegevoegd of verwijderd worden. 3.5. Een Security Officer is aangesteld Een functionaris met de rol van Security Officer stuurt en ziet toe op een veilig gebruik van Suwinet-inkijk en -inlezen. Suwi beveiligingsplan 2014 def.

Bij besluit van het Managementteam van d.d. 10 maart 2014 zijn 2 medewerkers aangewezen met taken binnen het Suwi-beveiligingsplan: de Information Security Officer (ISO), gedelegeerd verantwoordelijke voor opstellen en uitvoering informatiebeleid en de Information Security Auditor (ISA), gedelegeerd verantwoordelijke voor controle op het informatiebeleid. De taken van beide functionarissen dekken de taken van de SO af. De notitie betreffende de Aanwijzing Security Officer en inrichten informatiebeveiligingsorganisatie in het kader van SUWI-beveiliging is bij dit plan gevoegd. 3.5.1. De taken van de security officer Beleidstaken ISO o.a.: opstellen informatiebeveiligingsplan; Bevorderen en adviseren op het gebied van (informatie-) beveiliging; Evalueren van de uitkomsten van beveiligingsonderzoeken; Organiseren van bewustwordingsacties; Voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging. Beheerstaken ISO o.a.: Autorlsatiebeheer. Controle taken ISA o.a. Controleren of en in hoeverre beveiligingsmaatregelen worden nageleefd; Controleren of en in hoeverre de afspraken worden nageleefd; onderzoekt de noodzaak van accounts en rechten van directeuren, staffunctionarissen en afdelingshoofden; Beoordeelt de rechtmatigheid van het raadplegen van persoonsgegevens; Rapporteren over de status van de beveiliging aan MT; Rapporteren aan het hoogste gezagsorgaan binnen de organisatie (dus aan de Directie en/of Algemeen bestuur); 3.6. Autorisatieprocedure Bij de aanstelling ontvangt een medewerker van de afdeling HR voorlichting over een veilig gebruik van Suwinet. De nieuwe medewerker ondertekent de geheimhoudingsverklaring voor het veilig gebruik van Suwinet. Een voorbeeld van deze verklaring is bij dit plan gevoegd. De manager van de afdeling HR meldt de nieuwe medewerker bij de applicatiebeheerder voor de autorisatie Suwinet-inkijk. De manager HR vermeldt daarbij de functie van de medewerker. Overeenkomstig de functie krijgt de medewerker toegang tot de benodigde rollen in Suwinet zoals vastgelegd in de bijgevoegde autorisatiematrix. Suwi beveiligingsplan 2014 def.

De applicatiebeheerder beëindigt na melding door de manager HR de autorisatie voor Suwinet-inkijk op de ontslagdatum van de medewerker of zo veel eerder als door de manager van de afdeling HR wordt aangegeven. De afdeling HR zorgt, dat voor 1 juli 2014 alle medewerkers met een functie die toegang geeft tot het Suwinet de geheimhoudingsverklaring ondertekenen. De verklaringen komen in het persoonsdossier van de medewerkers. Alleen aan personen in dienst van met een functie voorkomende op de autorisatiematrix en die de geheimhoudingsverklaring hebben ondertekend, wordt toegang tot de Suwinetinkijk verleend. De mogelijkheden tot het inzien van gegevens reikt niet verder dan de voor de functie in de matrix vastgelegde rollen. 3.7 Controle op toegang en gebruik Suwinet Het BKWI heeft rapportages ontwikkeld omtrent de logging van het gebruik van Suwinetinkijk. Het BKWI is verplicht om loggegevens, waarmee het gebruik van Suwinet-inkijk per medewerker van kan worden nagegaan, te bewaren. De ISA vraagt 2 maal per jaar in de maanden maart en september bij het BKWI de rapportage over het gebruik van de Suwinet-inkijk op. Daarbij vraagt de ISA exclusief bij het BKWI naar de waarnemingen en conclusies over het gebruik. Indien uit het verslag blijkt, dat nadere specifieke informatie gewenst is, vraagt de ISA een specifieke rapportage op. In deze specifieke rapportage staan gegevens over het gebruik van de Suwinet-inkijk door individuele medewerkers. De ISA stelt van de bevindingen een rapport op. De directeur neemt op basis van de rapportage een besluit over de eventuele rechtspositionele gevolgen voor de medewerker. Bij de onderzoeken naar de individuele medewerker en de eventuele oplegging van een disciplinaire straf handelt overeenkomstig de bepalingen van hoofdstuk 16, disciplinaire straffen van de CAR-UWO en de Ambtenarenwet. De ISA rapporteert de algemene uitkomsten van de controle aan de Chief information security officer, het MT, het DB en AB van. Het rapport bevat zo nodig adviezen voor de aanpassing van het Suwi-beveiligingsplan 2014. Suwi beveiligingsplan 2014 def. 10

4 Slotbepalingen 4.1 Noodprocedure Indien is vastgesteld, dat gehandeld is in strijd met de Wet Suwi en haar regeling of in strijd met de richtlijnen uit dit beveiligingsplan of gevaar bestaat, dat in strijd met die bepalingen gehandeld wordt, kunnen de ISO en of ISA direct een of meerdere accounts voor de toegang tot de Suwinet beëindigen of beperken. Bij afwezigheid van de ISO en of ISA komt gelijke bevoegdheid toe aan de afdelingsmanagers. Van deze beëindiging of beperking stelt de ISO, ISA of manager onmiddellijk de directeur op de hoogte. 4.2 Reikwijdte gebruik gegevens Suwinet mag alleen worden gebruikt voor de uitvoering van de in de Wet Suwi genoemde wetten. Dat is voor : WWB, inclusief bbz2004, loaw en loaz. Gebruik voor andere doeleinden is niet toegestaan. Niet toegestaan is ook het doorleveren van gegevens aan WMO, jeugdzorg, welzijn, schuldhulpverlening. Veiligheidshuizen, gemeentelijke belastingen enzovoort. 4.3 Verantwoording verantwoordt jaarlijks haar werkzaamheden en acties in het kader van het Suwibeveiligingsplan aan de directie en het dagelijks bestuur. 4.4 Prioritering beveiligingsplannen De gemeenten Houten, Usselstein, Lopik, Nieuwegein en Vianen voeren reeds beleid op het gebied van de informatiebeveiliging. Indien bepalingen in dat beleid afwijken of conflicteren met bepalingen in dit Suwi-beveiligingsplan zijn de bepalingen uit dit plan leidend. 4.5 Citeertitel Dit plan kan worden aangehaald als Suwi-beveiligingsplan 2014 4.6 Inwerkingtreding Dit plan treedt in werking op de dag volgende op de accordering door het AB van. Suwi beveiligingsplan 2014 def. 11

Ondernemingsraad De heer R. Esser, Directeur Werk en Inkomen Lekstroom Postbus 2708 3430 GC NIEUWEGEIN Werki Zaaknummar umm Berichtnummer Afdeling 01e I 1 Gedeponeerd d.d. Nieuwegein, 12 mei 2014 OR 14/090 Onderwerp: Instemming SUWl beveiligingspian Geachte heer Esser, beste Rob, Per brief van 6 mei 2014 heeft u de OR een instemmingsverzoek SUWl beveiligingspian gestuurd. De OR Is blij met een goed beveiligingsplan welke eisen de wet daaraan stelt inclusief bijbehorende Scholing. Dit biedt voor de OR waarborgen voor een zorgvuldige behandeling van klantgegevens door medewerkers. Zoels u al meldt zijn de arbeidsrechtelijke zaken/disclplinaire maatregelen al in de CAR en de Ambtenarenwet geregeld. Toch vinden wij het goede zaak hier extra aandacht voor te vragen. De OR kan met inachtneming van onderstaande voorwaarden Instemmen met het SUWl beveiligingsplan. 1. T.a.v. het benoemen van de Information Security Officer (ISO) en de information Security Auditor (ISA), vragen wij ons af hoeveel extra tijd dit op jaarbasis kost mede omdat naar onze mening niet is meegenomen in het formatieplan van 2. De rollen en teken zijn zeer strak gescheiden in bijgevoegd overzicht. Voor de OR is het echter de vraag om aan bepaalde rollen niet meer rechten toegekend kunnen krijgen, bijvoorbeeld bij terugvorderingen verhaal.

zodat collega's zelfstandiger kunnen werken zonder een beroep te doen op andere collega's. Wanneer wordt geredeneerd vanuit de lean gedachte is hiervoor te pleiten om de bevoegdheden uitte breiden. 3. In het SUWl beveiligingspian 2014 worden 2 x per jaar de log gegevens van de inkijk opgevraagd bij het BKWI. De OR wordt graag op de hoogte gehouden van de afhandelingsprocedure indien er misbruik plaate vindt. 4. Betreffende geheimhoudingsverklaring wil ik de OR graag het volgende invoegen/opmerken: Onder 'zegt toe dat hij/zij' - invoegen: kennis heeft genomen van het thans geldende SUWI beveiligingsplan 2014, dan wel de opvolger van dit plan. - opmerken: derde bolletje: kennis heeft genomen van de regels Kunt u aangeven welke regels hier worden bedoeld en krijgen collega's deze regels al bijlage erbij uitgereikt. - aanpassing van de layout ed. 5. Accordering SUWl beveiligingsplan blz. 7 punt 3.1: dat het plan daarnaast ter vastetelling wordt voorgelegd aan de colleges van de deelnemende gemeenten. De OR vraagt zich af of dit noodzakelijk is wanneer dit plan In het algemeen bestuur wordt vastgesteld, of heeft dit plan de stetus van een verordening? Graag zien wij uw reactie tegemoet. Wij wensen u succes met de implementetie en uitvoering van dit plan. Met vriendeliil«r]groeten, r OR -

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback