VOORBEELD BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Voorbeeld Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product en de gemeente Amsterdam voor het aanleveren van hun aanpak. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot invoering van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de invoering van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van dit document is het leveren van een voorbeeld resultaat van de aanpak die gebruikt kan worden om voor nieuwe processen en systemen een methode te hebben om te bepalen of de BIG afdoende is of niet. De invulling betreft een fictief proces en systeem. Doelgroep Dit document is van belang voor het management van de gemeente, de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Privacy impact assessment gemeenten Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 10.8.5.1 Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, back-up en in voorkomend geval Cloud diensten. 15.1.4.1 De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. 4
1 Fictief proces voor dit voorbeeld van de baselinetoets. Informatie wordt steeds vaker als een van de kritieke ingrediënten voor succesvolle bedrijfsvoering beschouwd. Het ontberen van informatie, verminking of uitlekken van informatie aan onbevoegden, kan ernstige negatieve effecten hebben op bijna alle bedrijfsprocessen. Deze baselinetoets is uitgevoerd voor het volgende proces: Leerlingzaken. Het proces Leerlingzaken wordt uitgevoerd door de afdeling Leerlingzaken van een gemeente, het afdelingshoofd is proceseigenaar. Voor het uitvoeren van het proces leerlingzaken wordt een informatiesysteem gebruikt, een leerlingvolgsysteem. Het leerlingvolgsysteem kent de volgende karakteristieken: Input van het systeem komt van: Dienst Uitvoering Onderwijs (DUO)(verzuimmeldingen, rapportages) Scholen (verzuimmeldingen, voor zover niet van DUO via verzuim-vsv.nl) De Gemeentelijke Basisadministratie Persoonsgegevens (GBA)(leerplichtige en startkwalificatie jongeren, d.w.z. alle personen van 0 tot en met 23 jaar en hun relaties binnen de gemeente) GBA-inkijk (buitengemeentelijke personen) Sociale Verzekeringsbank (SVB)(-maatregelen) De leerplicht ambtenaar SUWInet-inkijk (inkomensgegevens) Intergrip De hoofdgebruikers zijn leerplicht ambtenaren van de afdeling en de administratie. Uitvoer van het systeem gaat naar: 1. DUO 2. Centraal agenda systeem van de gemeente 3. Een brievengenerator 4. Openbaar Ministerie (OM)/Halt(proces-verbaal) 5. SVB 6. Zaakmagazijn van de gemeente (status veranderingen) 7. Het documentmanagementsysteem (DMS voor archiveren correspondentie 8. Intergrip 5
VRA Geen logo Informatiebeveiliging en Privacy Project: Leerlingvolgsysteem Datum: April 2014 Projectnummer: Geen Projectleider: P. Lub Opdrachtgever: P. roceseigenaar Versie: 0.1 Opsteller: A. Nalist Functie: Informatiemanager Validatie door: I. nformatiebeveiligingsfunctionaris Functie: CISO gemeente test
Versiebeheer Versies Versie Datum Auteur Samenvatting van de wijzigingen 0.1 A. nalist 0.X Goedkeuring Versie Datum Naam Business owner / proceseigenaar I&A manager ICT-manager Ter informatie aan Versie Datum Naam Projectbureau CISO-gemeente Voor opmerkingen met betrekking tot deze baselinetoets kunt u zich wenden tot de CISO van deze testgemeente. 7
Inhoudsopgave 1 Fictief proces voor dit voorbeeld van de baselinetoets. 5 2 Management samenvatting 9 3 Inleiding 10 3.1 Project 10 4 Vragenlijst proces 11 5 Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). 14 5.1 Vragenlijst Beschikbaarheid 14 5.2 Vragenlijst Integriteit 16 5.3 Vragenlijst Vertrouwelijkheid 18 6 Vragenlijst persoonsgegevens 20 7 Analyse en advies 23 7.1 Analyse BIV 23 7.2 Analyse Persoonsgegevens 24 7.3 Advies 24 8
2 Management samenvatting Er is een baselinetoets uitgevoerd voor het nieuwe systeem Leerlingzaken van de gemeente. Het doel van deze baselinetoets is om te bepalen of de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) voldoende maatregelen biedt om het vereiste beschermingsniveau van dit systeem af te dekken. Er zijn gesprekken geweest met de proceseigenaar, hoofd Leerlingzaken, en daarmee is deze analyse ingevuld. Het nieuwe systeem Leerlingzaken valt binnen de baseline, dat betekent dat de BIGmaatregelen moeten worden meegenomen in het programma van eisen (PvE). Er is geen Privacy Impact Assessment (PIA) nodig. 9
3 Inleiding Deze baselinetoets wordt uitgevoerd om te toetsen of het leerlingvolgsysteem, die de afdeling Leerlingzaken van de gemeente wil aanschaffen, binnen of buiten de baseline valt. Het is één van de verplichte stappen voor het projectdossier om te komen tot een adequate set aan informatiebeveiligingsmaatregelen. 3.1 Project Het doel van deze projectstap is om vast te stellen welke informatiebeveiligingsmaatregelen in het programma van eisen, voor het leerlingvolgsysteem, moeten worden opgenomen bij de aanbesteding. Door middel van deze baselinetoets wordt getoetstof de BIG-maatregelen afdoende zijn, of dat er meer maatregelen nodig zijn.. Deze baselinetoets is een verplicht onderdeel binnen de projectaanpak van de testgemeente. Afhankelijk van de uitkomsten van deze baselinetoets volgt eventueel nog een uitgebreide risicoanalyse voor het leerlingvolgsysteem dat het proces Leerlingzaken ondersteunt. De projecteigenaar is P. roceseigenaar. 10
4 Vragenlijst proces Naam en functie geïnterviewde P. roceseigenaar (afdelingshoofd Leerlingzaken) P. Lub (projectleider implementatie en aanbesteding) I. nformatiebeveiligingsfunctionaris Naam en functie proces Kenmerken baselinetoets Het proces Leerlingzaken heeft tot doel het uitvoeren van de handhaving van de leerplichtwet en Regionaal Meld- en Coördinatiefunctie (RMC. Geef een bondige beschrijving van het proces/processen en benoem de proceseigenaar. Deze baselinetoets is uitgevoerd voor het volgende proces: Leerlingzaken. Het proces Leerlingzaken wordt uitgevoerd door de afdeling Leerlingzaken van een gemeente, het afdelingshoofd is proceseigenaar. Voor het uitvoeren van het proces Leerlingzaken wordt een informatiesysteem gebruikt, een leerlingvolgsysteem. Het leerlingvolgsysteem kent de volgende karakteristieken: Input van het systeem komt van: DUO (verzuimmeldingen, rapportages) Scholen (verzuimmeldingen, voor zover niet van DUO via verzuim-vsv.nl) De GBA (leerplichtige en startkwalificatie jongeren, dat wil zeggen alle personen van 0 tot en met 23 jaar binnen de gemeente en hun relaties) GBA-inkijk (buitengemeentelijke personen) SVB (-maatregelen) De leerplichtambtenaar SUWInet-inkijk (inkomensgegevens) Intergrip De hoofdgebruikers zijn leerplichtambtenaren van de afdeling en de administratie. Uitvoer van het systeem gaat naar: DUO Centraal agendasysteem van de gemeente Een brievengenerator OM/Halt (proces-verbaal) SVB Zaakmagazijn van de gemeente (statusveranderingen) Het DMS voor archiveren correspondentie Intergrip 11
Maakt het proces/de processen deel uit van een keten/meerdere ketens? Zo ja beschrijf de keten/ketens Het proces Leerlingzaken maakt deel uit van een keten in relatie met DUO en de scholen. Welke eventuele subprocessen zijn te onderscheiden? Welke hoofdactiviteiten worden binnen het proces uitgevoerd en wie doen dat? Er zijn 2 subprocessen die grotendeels gelijk zijn: Leerplicht en Regionaal Meld- en Coördinatiepunt (RMC) Leerplicht wordt uitgevoerd door de leerplichtambtenaar. RMC wordt uitgevoerd door de RMC-ambtenaar. Beide kunnen het proces overnemen echter, leerplicht gaat over leerlingen die tot en met 18 jaar naar school moeten en RMC gaat over leerlingen tussen de 16 en 18 jaar, die nog geen startkwalificatie behaald hebben. Beschrijf welke afnemers het proces heeft. Welke producten nemen zij af en welke kwaliteitseisen stellen zij aan deze producten? Output van het proces Leerlingzaken zoals eerder benoemd: DUO (terugmeldingen, resultaat van uitgevoerde interventies). Centraal agendasysteem van de gemeente (planning van gesprekken met scholen en leerlingen en hun ouders), ook in gebruik door het Klant Contact Center (KCC) van de gemeente. Een brievengenerator, deze wordt gebruikt om brieven te genereren uit het leerlingvolgsysteem. OM/Halt (proces-verbaal), als het nodig is wordt door de leerplichtambtenaar een mini proces-verbaal opgemaakt voor het OM/Halt. Sociale Verzekeringsbank (SVB), ontvangt adviezen van de afdeling. Zaakmagazijn van de gemeente (statusveranderingen). Het DMS voor archiveren correspondentie. Intergrip(statusinformatie RMC en overdracht leerlingen). Beschrijf welke leveranciers het proces heeft. Welke producten leveren zij aan en welke stellen zij aan de verwerking in het te onderzoeken proces? DUO levert verzuimmeldingen. GBA levert via de gemeentelijke broker alle leerlingen tot een bepaalde leeftijd. SUWInet-inkijk wordt gebruikt om te toetsen of een leerling zonder startkwalificatie inkomen heeft. Scholen leveren soms zelf meldingen aan. Intergrip, statusoverdracht RMC. Welke wet- en regelgeving is van toepassing op dit proces en welke specifieke eisen komen hieruit naar voren? De leerplichtwet 12
RMC-wet Door welke informatievoorziening wordt het proces ondersteund? GBA-inkijk (web) GBA-koppeling via gemeentelijke makelaar DUO SUWInet-inkijk (web) Intergrip (web) (beoogd) Eigenaar informatiesysteem Het hoofd van de afdeling Leerlingzaken 13
5 Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). 5.1 Vragenlijst Beschikbaarheid Gevolgen van het niet beschikbaar hebben van debenodigde informatie of gegevens. (in het ergste geval) B1 Managementbeslissingen: Hoe lang duurt het, voordat het nemen van beslissingen nadelig beïnvloedt wordt door het ontbreken van informatie? B2 Imagoverlies: Hoe lang duurt het voordat er sprake is van imagoverlies? B3 Hapering dienstverlening: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er daadwerkelijk hapering in de dienstverlening aan burgers/bedrijven ketenpartners ontstaat. B4 Wettelijke aansprakelijkheid: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er wettelijke of contractuele verplichtingen niet kunnen worden nagekomen? B5 Additionele kosten: Na welke periode zijn additionele kosten voor de organisatie te verwachten, bij het niet beschikbaar zijn van de applicatie of informatie? Waardering 1 1 1 1 uur dag wee mnd k Argumentatie (verplicht invullen) De managementrapportage wordt maandelijks gemaakt. Het gaat dus eigenlijk om de laatste werkdag van de maand die kritisch is. 1 week, na een week begint het proces vast te lopen en kan aan het proces geen goede invulling gegeven worden. 1 dag, de verwerking van DUO-gegevens gebeurt dagelijks, echter gezien de workload van de ambtenaren zal dit pas na een week merkbaar zij Er kan, indien nodig, ook even op papier gewerkt worden, mits men de planning in de eigen agenda heeft staan. Wettelijk gezien wordt verzuim pas gemeld als een bepaalde waarde overschreden wordt in de tijd, dus er is geen grote haast. Waarschijnlijk geen, de leerling die verzuimd. heeft helemaal geen belang bij interventie. 14
B6 Moreel van de medewerkers: Na welke periode is er sprake van een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers? B7 Herstel: Hoe lang duurt het om te herstellen na 0 1 2 3 een langdurige niet beschikbaarheid van een applicatie of informatie? Zijn er hoge herstelkosten? Subtotalen B1-B7 1 5 Medewerkers hebben het systeem nodig om hun werk te doen, na een week geeft dat negatieve invloed. Het is een eenvoudige applicatie die snel hersteld moet kunnen worden, zonder al te hoge herstelkosten. Subtotaal Beschikbaarheid: 6 3 = zeer ernstige schade: de dienstverlening aan de burger/bedrijven/ketenpartners komt in gevaar, raadsvragen, reactie wethouder vereist, berichten in de krant, professionaliteit van het concern, de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners / klanten, budgettaire problemen. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 15
5.2 Vragenlijst Integriteit Gevolgen van fouten in informatie of doelbewuste manipulatie van informatie om te frauderen of fraude te maskeren (in het ergste geval) I1 Managementbeslissingen: Kan onjuiste informatie leiden tot onjuiste beslissingen? Waardering Argumentatie (verplicht invullen) Ja dat kan, echter in het proces wordt dit meestal wel ontdekt en rechtgetrokken. I2 Fraude potentie: Zijn er frauderisico s? Wat zijn de gevolgen? I3 Onderbreking van strategische processen: In hoeverre kunnen de kernprocessen van de organisatie onderbroken worden als gevolg van ongeautoriseerde wijziging van, of fouten in informatie? I4 Vertrouwen van het publiek c.q. klanten: Kan het vertrouwen van het publiek geschaad worden door onjuiste informatie? Wat zijn de gevolgen voor de organisatie? I5 Wettelijke aansprakelijkheid: Wat kunnen de gevolgen zijn van het niet voldoen aan wettelijke of contractuele verplichtingen die veroorzaakt worden door onjuiste informatie? I6 Additionele kosten: In hoeverre kunnen er additionele kosten ontstaan door het toepassen van onjuiste informatie? Bijvoorbeeld het moeten herstellen van een corrupte database of opnieuw invoeren van gegevens. I7 Moreel van de medewerkers: Wat zijn de schadelijke effecten op het moreel van medewerkers als u onjuiste informatie gebruikt? Subtotalen I1-I7 7 De kans op fraude is minimaal. Meldingen komen van de scholen via DUO en er moet ook terug gemeld worden. Dit gebeurt wel als een bestand verkeerd wordt ingelezen maar dat is ook herstelbaar. Bovendien kunnen de ambtenaren meestal nog wel doorwerken. Het proces Leerlingzaken is geen strategisch proces van de gemeente en beïnvloed ook geen strategische processen. Het is een handhavingstaak, de informatie die we ontvangen dient juist te zijn. Verwaarloosbaar klein. Verwaarloosbaar klein. Dit beperkt zich tot het inlezen van de back-up, nieuwe bestanden opvragen bij DUO of de GBA. Het is vervelend als een gegeven onjuist blijkt te zijn, maar meer ook niet. Subtotaal Integriteit: 7 16
3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van het concern of de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners / klanten, burgers budgettaire problemen. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 17
5.3 Vragenlijst Vertrouwelijkheid Gevolgen van onbedoelde of ongeautoriseerde verspreiding van gegevens of informatie (in het ergste geval) V1 Vertrouwen van de burger: Wat zijn de gevolgen voor de gemeente indien de binnen het proces beschikbare informatie te vroeg c.q. niet volgens de regels verspreid wordt? V2 Vertrouwen van het publiek: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie van de organisatie onterecht wordt verspreid V3 Vertrouwen van ketenpartners Kan de gemeente toegang tot de keten geweigerd worden? Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. V4 Vertrouwen van ketenpartners Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. V5 (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden van deze informatie? V6 Additionele kosten: In hoeverre is er sprake van additionele kosten door onterechte verspreiding van deze informatie? V7 Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding van informatie? Waardering Argumentatie (verplicht invullen) Als informatie gelekt wordt over een case waardoor iemand negatief in het nieuws komt dan levert dat zeker klachten en politieke aandacht op. Raadsvragen zijn er nog nooit geweest voor dit proces. Als vertrouwelijke informatie gelekt wordt van klanten van het proces Leerlingzaken, leidt dat tot politieke aandacht en negatieve publiciteit. Waarschijnlijk niet, het betreft een wettelijke taak. Er wordt geen gebruik gemaakt van DigiD. Er kunnen in het geval dat dit gebeurt mogelijk aanvullende eisen (aansluitvoorwaarden) gesteld worden). Dit wordt opgelost er gaan over en weer wel eens bestandverzendingen fout, echter er is nog nooit vertrouwelijke onterecht informatie verspreid. Subtotalen V1-V7 8 3 We verwachten hier niet veel van. We voeren een wettelijke taak uit en er wordt zorgvuldig omgegaan met de informatie. De meldplicht datalekken is er nog niet, als die er wel is bestaat de kans op een boete als er een data lek is en er niet genoeg maatregelen zijn getroffen. Dan zou dit door de hoogte van de boete ook een 3 kunnen worden. Hier hebben we nog nooit last van gehad, als het zou gebeuren is dat niet van invloed op het moreel van de medewerkers van de afdeling. Subtotaal Vertrouwelijkheid: 11 18
3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers en afnemers. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 19
6 Vragenlijst persoonsgegevens Persoonlijke gevolgen van onbedoelde of ongeautoriseerde verspreiding van persoonsgegevens van betrokkene(n) (in het ernstigste geval) P1 Veiligheid: Is de veiligheid van personen in het geding indien persoonsgegevens uitlekken of onterecht worden verwerkt? P2 Chantage: Kan de betrokkene eventueel gechanteerd worden bij het uitlekken van persoonsgegevens? P3 Identiteits- en financiële fraude: Bestaat de mogelijkheid dat door het uitlekken van persoonsgegevens identiteits- of financiële fraude kan plaatsvinden? P4 Fysieke en geestelijke schade: Kan de betrokkene schade oplopen indien gegevens betreffende de persoon openbaar worden, of onterecht worden verwerkt? P5 Vertrouwen van de burger: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie omtrent personen onterecht wordt verspreid of anderszins wordt verwerkt. P6 (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden/verwerken van deze persoonlijke informatie? P7 Additionele kosten: In hoeverre is er sprake van additionele kosten, door onterechte verspreiding/verwerking van deze Waardering Argumentatie Nee, er worden geen bijzondere persoonsgegevens geregistreerd en door de binding met de leerplichtwet kunnen we ook maar een beperkte groep personen raadplegen. Indien men zich aan de regels houdt en geen details vastlegt die niet mogen. Binnen het proces mogen alleen NAWgegevens en verzuimgegevens worden vastgelegd. Met het BSN en de persoonsgegevens kan identiteitsfraude mogelijk zijn. Als er in het proces Leerlingzaken gegevens worden vastgelegd over details, van bijvoorbeeld een ziekte, dan kan dat zeker gevolgen hebben. Zeker als deze zijn vastgelegd en uitlekken. Echter in de werkinstructie is geregeld dat dit niet mag. De informatie moet worden verwerkt ingevolge de wet, als deze wordt gelekt / verspreid dan kan dit schade opleveren voor de persoon. Verwerken niet, er is een wettelijke taak. Onterecht verspreiden kan een claim tot gevolg hebben. Er kan onder de toekomstige wetgeving datalekken een claim 20
persoonlijke informatie? P8 Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding/verwerking van informatie? Subtotalen P1-P9 8 4 Subtotaal Persoonsgegevens (P1-P9): 12 komen, echter voor zover wij weten is er nog nooit data gelekt of onterecht verwerkt. De medewerkers zijn professionals, als er zaken verkeerd verwerkt worden lossen ze dat op. Daar hebben we ook de administratie functie voor. 3 = zeer ernstige schade voor de persoon en de gemeentelijke organisatie: raadsvragen, reactie wethouder vereist, belangrijke partners / burgers en derden stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade voor de persoon, de gemeentelijke dienst: krantenkoppen, vragen van partners / burgers,boete CBP. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 21
Algemene vragen m.b.t. doeleinden en doelbinding van de verwerking van persoonsgegevens Ja Nee Argumentatie P9 Heeft u het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgelegd? P10 Worden bestaande persoonsgegevens voor nieuwe doeleinden verwerkt in een bestaand of nieuw systeem? 0 3 Uitvoering van de leerplichtwet, dit doel hoeven we niet vast te leggen aangezien het een wettelijke verplichting betreft. 3 0 Nee, het is een bestaand proces en de applicatie vervangt een verouderde applicatie. P11 Gaat het bij het project/systeem om het nastreven van nieuwe aanvullende doeleinden door bestaande persoonsgegevens, of verzamelingen daarvan, te gebruiken, vergelijken, delen koppelen of anderszins verder te verwerken? P12 Indien u op P11 ja hebt geantwoord: Hebben alle personen/instanties/systemen die betrokken zijn bij de verwerking dezelfde doelstelling met de verwerking van de desbetreffende persoonsgegevens of is daarmee spanning mogelijk, gelet op hun taak of hun belang? P13 Indien u op P11 ja hebt geantwoord: Gelden dezelfde doelen voor het gehele proces? 3 0 0 3 N.v.t. 0 3 N.v.t. Nee, het gaat om een bestaand proces er er zijn geen nieuwe of andere doelstellingen. De gegevens worden niet gekoppeld of gedeeld buiten wat we al deden. P14 Worden de verzamelde/verwerkte persoonsgegevens gebruikt om het gedrag/de aanwezigheid of de prestaties van mensen in kaart te brengen en/of te beoordelen en/of te voorspellen? P15 Indien u op P14 ja hebt geantwoord: Zijn de betrokkenen daarvan op de hoogte? 3 0 Nee, er wordt geen gedrag voorspeld met de informatie. Er wordt gereageerd op reële signalen en daar wordt naar gehandeld. 0 3 N.v.t. P16 Indien u op P14 ja hebt geantwoord: Zijn de gegevens die hiervoor worden gebruikt, afkomstig uit verschillende (eventueel externe) bronnen en zijn zij oorspronkelijk voor andere doelen verzameld? Subtotaal Persoonsgegevens (P9-P16): 0 3 0 Nee 22
7 Analyse en advies 7.1 Analyse BIV Score Aantal score boven de baselinenorm Focus Risiconalyse Beschikbaarheid (B1-B7) 6 Geen hoger dan 1 Hoger dan 8, focus op beschikbaarheid Vertrouwelijkheid (V1-V6) 7 Geen hoger dan 2 Hoger dan 14, focus opintegriteit Integriteit (I1-I7) 11 Geen hoger dan 2 Hoger dan 14, focus op vertrouwelijkheid TOTAAL SCORE: 24 De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. Bij Beschikbaarheid aangeven of- en hoe vaak er hoger is gescoord dan een één (2 of hoger). Bij Integriteit aangeven of- en hoe vaak er hoger is gescoord dan een twee (dat is een 3). Bij Vertrouwelijkheid aangeven of en hoe vaak er hoger is gescoord dan een twee (dat is een 3). Het niveau van de BIG bevindt zich op de volgende (BIV)waarden: Beschikbaarheid: Belangrijk (waarde = 1 in de gehanteerde beschikbaarheidsschaal). Integriteit: Hoog (waarde = 2 in de gehanteerde Integriteitsschaal) Vertrouwelijkheid: Vertrouwelijk (waarde =2 in de gehanteerde vertrouwelijkheidsschaal) Vertaald naar de baselinetoets betekenen de uitkomsten het volgende: Norm Beschikbaarheid Integriteit Vertrouwelijkheid 8 of minder = baseline 14 of minder = baseline 14 of minder = baseline Let op: Als er één of meerdere keren een twee (2) is gescoord bij Beschikbaarheid (B) en een drie (3) gescoord is bij de IV + P-rating, dan betekent dat er een verhoogd risico aanwezig is. Op grond hiervan moet, onafhankelijk van de rest van de scores, een diepgaande risicoanalyse uitgevoerd worden. De resultaten van deze analyse zijn dan ook weer input voor de diepgaande risicoanalyse. Focus risicoanalyse Indien de uitkomsten van de BIV-waarden boven de baseline uitkomen kan dit worden gebruikt om een extra focus in de diepgaande risicoanalyse te leggen op het betreffende onderwerp. 23
7.2 Analyse Persoonsgegevens Score Aantal scores 3 Persoonsgegevens (P1-P9) 12 0 Verwerking Persoonsgegevens (P10-P16) 0 0 TOTAAL SCORE: 12 0 De totale score geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces. In de 3+ kolom aangeven of binnen een bepaald aandachtsgebied een 3 is gescoord. Indien één of meer scores voor wat betreft de verwerking van persoonsgegevens hoger is dan 3 dan dient u een Privacy Impact Analyse (PIA) uit te voeren en contact op te nemen met de CISO of gelijkwaardige functionaris. 7.3 Advies De maatregelen uit de Baseline zijn voldoende voor de beveiliging van het onderzochte proces: er zijn geen aanvullende benodigdheden, Het bestaande systeem wordt voldoende beschermt door de BIG.. 24