Verbeterplan Suwinet

Vergelijkbare documenten
Norm 1.3 Beveiligingsplan

2015; definitief Verslag van bevindingen

i\ r:.. ING. 1 8 FEB 2016

Lees onderstaande informatie eerst aandachtig door voorafgaand aan de zelftest

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

rliiiiihihhiiiivi.ilhn

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

College bescherming persoonsgegevens

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

Informatie over logging gebruik Suwinet-Inkijk

College bescherming persoonsgegevens

Aan welke eisen moet het beveiligingsplan voldoen?

Handreiking Suwinet Attentiepunten en illustrataties

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle

Nota Informatiebeveiligingsbeleid Wijzer 2015

il'-'ih'li-l'li'-ihih

illinium i ui /12/2013

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

Introductie Suwinet en ENSIA

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

Rekenkamercommissie Brummen

College bescherming persoonsgegevens

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

ons kenmerk ECSD/U Lbr. 14/091

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

Handreiking Nieuwe Suwi Autorisaties

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

College bescherming persoonsgegevens. Onderzoek gebruik Suwinet door niet-suwipartijen Gemeente s-hertogenbosch

veilig omgaan met elkaars gegevens

Veilig gebruik Suwinet 2013

Cools, Luuk

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

ons kenmerk ECSD/U Lbr. 14/091

Documentnummer: : Eindnotitie implementatie privacy

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen

Tweede Kamer der Staten-Generaal

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Bijeenkomst Suwinet. VNG / Inspectie SZW

Vraag: Wat is de meerwaarde van een filtermechanisme zoals dat nu in de vorm van een whitelist wordt geïmplementeerd?

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Vragen en antwoorden whitelist en escapefunctie

Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

uw brief van uw kenmerk ons kenmerk Brielle, 12 maart 2015 verzonden

Beveiligingsnota Suwinet 2014

Quick scan Informatiebeveiliging gemeente Zoetermeer

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven

Procedure aansluiting Suwinet Services

Beveiliging en privacy in de SUWIketen

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Rekenkameronderzoek. informatieveiligheid en privacy. sociaal domein gemeente Eindhoven. Eindhoven, 17 mei 2016

Stappenplan voor een veiliger gebruik van Suwinet

Stappenplan voor een veiliger gebruik van Suwinet

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Handreiking Wlz-Registertoets

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Treasurystatuut Gemeente Den Helder. ieheersdeel

Handreiking Implementatie Specifiek Suwinetnormenkader

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

TOEZICHT OP DE TAAKUITVOERING VAN TOEZICHT EN HANDHAVING DOOR DE GEMEENTE. Leiderdorp

Beveiligingsplan Suwinet, Kolom Werk en Inkomen 2018

0.1 Opzet Marijn van Schoote 4 januari 2016

Voorstel onderzoek PGB huishoudelijke hulp

7 maart Ons kenmerk TIS U Lbr. 19/010. Bijlage(n)

Knoppenmodel Transparantie naar burger Toekomstvisie

Energiemanagementplan Carbon Footprint

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Release Suwinet-Inkijk versie 14.06

College bescherming persoonsgegevens

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Aan de Staatssecretaris van het Ministerie van Sociale Zaken en Werkgelegenheid, Mevrouw J. Klijnsma Postbus LV DEN HAAG pagina 1 van 4

Handreiking Wlz-Registertoets

Gebruik Suwinet, wat kan wel wat kan NIET?

CIOT-bevragingen Proces en rechtmatigheid

Technische oplossingen voor een veilig gebruik van Suwinet. Zwolle, 20 april 2017

Transcriptie:

Verbeterplan Suwinet

Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer... 4 2.5 Autorisatieprocedure... 5 2.6 Controle op toegang en gebruik... 5 3. Aanpak per verbeterpunt... 6 3.1 Informatiebeveiligingsbeleid... 6 3.2 Uitdragen van het beleid... 6 3.3 Functiescheiding... 6 3.4 Security Officer... 6 3.5 Autorisatieprocedure... 6 3.6 Controle op toegang en gebruik... 7 4. Hoe te borgen... 8 4.1 Beleidsplan... 8 4.2 Communicatie... 8 2/8 Verbeterplan Suwinet

1. Aanleiding Via Suwinet vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op voor uitkeringsverstrekking en handhaving. Binnen een paar seconden een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen er op dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen. Omdat gemeenteambtenaren met persoonsgegevens werken, is zorgvuldig en integer gebruik van deze gegevens erg belangrijk. In de brief van 19 december 2013 aan de gemeenteraad refereert de staatssecretaris van het Ministerie Sociale Zaken en Werkgelegenheid aan een onderzoek van de Inspectie Sociale Zaken en Werkgelegenheid (SZW). Het onderzoek betreft een steekproefonderzoek waaruit is gebleken dat slechts 4 procent van alle gemeenten de beveiliging van Suwinet volledig op orde heeft. De gemeente Súdwest-Fryslân viel niet in deze steekproef. Gemeenten moeten 7 maatregelen (normen) nemen om ervoor te zorgen dat gegevens op Suwinet niet zomaar worden opgevraagd. Die maatregelen hebben bijvoorbeeld betrekking op het onderhouden van gebruikersaccounts en de controle op door personeel opgevraagde gegevens. Resultaat eerder onderzoek Uit onderzoek in 2013 bleek dat Súdwest-Fryslân aan 6 van de 7 normen voldeed. Een score van 79% op orde. Uit de inspectierapportage is gebleken dat meer dan de helft van de 80 steekproefgemeenten voldoet aan slechts 0, 1 of 2 normen. Kortom vergeleken met de meeste gemeenten uit het onderzoek had Súdwest-Fryslân een prima score. Verder heeft Súdwest-Fryslân er werk van gemaakt en de 7e norm (analyse gebruik) is ook succesvol geïmplementeerd. Aangescherpte (sub)beveiligingsnormen Op basis van het steekproefonderzoek concludeert de Inspectie van Sociale Zaken en Werkgelegenheid (SZW) dat verbetering van de prestaties van een groot deel van de gemeenten aangaande het gebruik Suwinet noodzakelijk is. Daarnaast pakken gemeenten met name in het kader van de drie decentralisaties steeds vaker meer taken op waarbij directe dienstverlening aan de burger centraal staat. Veilige wisseling en gebruik van gegevens van burgers is daarvoor essentieel. Daarom heeft de Inspectie van SZW gemeenten aangespoord om een verbetertraject te starten, zoals het opstellen van dit verplichte verbeterplan. Daarbij zijn de 7 normen flink aangescherpt. Elke norm is onderverdeeld in subnormen. Uit de zelfanalyse die Súdwest-Fryslân in het eerste kwartaal van 2014 heeft uitgevoerd blijkt dat Súdwest-Fryslân nu nog maar aan 1 van de 7 normen voldoet: een actueel Informatiebeveiligingsbeleid. Aan de andere normen voldoet Súdwest-Fryslân niet (geheel) meer. De aard van de overige normen hebben onder andere betrekking op zowel inrichting van de organisatie als de werkprocessen. Aan de hand van dit verbeterplan worden de nieuw waargenomen verbeterpunten opgepakt. In het laatste kwartaal van 2014 zal er opnieuw een zelfanalyse uitgevoerd worden. De uitkomsten ervan worden gedeeld met de Vereniging van Nederlandse Gemeenten (VNG) en het Bureau Keteninformatisering Werk en Inkomen (BKWI). 3/8 Verbeterplan Suwinet

2. Verbeterpunten Suwinet In het onderzoek zijn de volgende verbeterpunten geconstateerd: 2.1 Informatiebeveiligingsbeleid De gemeente Súdwest-Fryslân heeft een vastgesteld informatiebeveiligingsbeleid. Het enige wat hieraan ontbreekt is een specifiek op Suwinet gericht hoofdstuk. 1. Er is een specifiek op Suwinet gericht informatiebeveiligingsbeleid of veiligheidsplan aanwezig of er is een Suwi-specifieke passage in een algemeen plan aanwezig; 2. Dit beleid, dit plan of deze passage heeft specifiek betrekking op Súdwest-Fryslân; 3. De goedkeuring is formeel vastgesteld. Het beleid, het plan of de passage is ondertekend of van de goedkeuring is expliciet melding gemaakt in het verslag van de betreffende vergadering. 2.2 Uitdragen van het beleid 1. Er is het afgelopen jaar minimaal 2x een actie geweest om de gebruikers (opnieuw) te attenderen op het bestaan van het veiligheidsbeleid, -plan of passage. 2.3 Functiescheiding Bij functiescheiding is het belangrijk dat bij verschillende personen is belegd: - De uitvoering van taken (het gebruik van Suwinet); - Het beheer van autorisaties (toegang verlenen tot Suwinet); - De kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van Suwinet) - en management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik Suwinet). 1. Deze scheiding is schriftelijk vastgelegd; 2. Er is een aanvullend document aanwezig waaruit blijkt dat ten aanzien van functiescheiding duidelijke keuzes zijn gemaakt bij het beleggen van taken. Of er is een onderbouwde verklaring waarom zo n document er niet is en er is een alternatieve aanpak om misbruik te voorkomen (bijvoorbeeld extra controle waar functiescheiding niet of minder goed mogelijk bleek). 2.4 Security Officer 1. Er is een medewerker verantwoordelijk gemaakt om periodiek ten minste twee keer per jaar naar de beveiliging van Suwinet kijken; 2. Deze medewerker rapporteert en adviseert periodiek rechtstreeks aan het management en / of de directie / of het college van B&W; 3. De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet; 4. Dat is vastgelegd in zijn / haar functieomschrijving inclusief takenoverzicht; 5. In ieder geval moet deze functionaris de beveiligingsprocedures en -maatregelen in het kader van Suwinet zo beheren en beheersen dat de beveiliging van Suwinet overeenkomt met de wettelijke eisen. 4/8 Verbeterplan Suwinet

2.5 Autorisatieprocedure Elke gebruiker van Suwinet moet geautoriseerd worden. 1. Er is een formeel vastgelegde autorisatieprocedure waarin functies aan autorisaties en in het verlengde daarvan aan rollen worden gekoppeld; 2. Het accountbestand wordt meerdere keren per jaar gecontroleerd en aansluitend worden inactieve accounts verwijderd; 3. Er is geen toegang verstrekt buiten de sociale dienst, de gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten. Voor het gebruik door gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten is een apart contract afgesloten. Het is op dit moment niet geoorloofd om WMO-medewerkers, medewerkers Parkeerbeheer of andere hierboven niet benoemde medewerkers toegang te verstrekken tot Suwinet. 2.6 Controle op toegang en gebruik Gemeente Súdwest-Fryslân heeft een Security Officer benoemd. Daarnaast is een Suwi-beheerder aangewezen binnen de vakafdeling. Beiden zijn belast met de volgende taken: 1. Een medewerker van de gemeente vraagt ten minste meerdere keren per jaar bij BKWI een rapportage over het gebruik van Suwinet-inkijk op; 2. De beoordeling van deze rapportage (door wie en langs welke criteria) is centraal belegd; 3. Deze beoordelaar maakt hiervan een schriftelijk verslag; 4. Als uit dit verslag blijkt dat nadere beoordeling gewenst is, wordt vervolgens bij BKWI een specifieke rapportage opgevraagd die vervolgens wordt beoordeeld; 5. Bij geconstateerd oneigenlijk gebruik c.q. misbruik wordt er ook opgetreden c.q. gesanctioneerd. 5/8 Verbeterplan Suwinet

3. Aanpak per verbeterpunt Het voorstel is om op korte termijn, het komende half jaar, de verbeterpunten 2.1 t/m 2.6 op te pakken, de aanpak hiervoor wordt hieronder beschreven. De normen zijn sterk met elkaar verbonden en vullen elkaar aan. 3.1 Informatiebeveiligingsbeleid 1. Een specifiek op Suwinet gerichte passage in beleid vastleggen. 3.2 Uitdragen van het beleid 1. We zijn op basis van een communicatieplan bezig met bewustzijn bij de medewerkers. De gebruikers van Suwinet zullen apart benaderd worden, om zo te borgen dat medewerkers op de hoogte zijn van de inhoud en betekenis van het informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid is voor alle gebruikers centraal beschikbaar op intranet. 3.3 Functiescheiding 1. In een document toegangsbeheer Suwinet beschrijven welke rollen er zijn t.a.v. het beheer en toegang tot Suwinet. Per rol beschrijven welke bevoegdheden / autorisaties deze rol heeft binnen de systemen. Tevens beschrijven welke eventuele combinaties van rollen toegestaan zijn. Een overzicht toevoegen met rollen gekoppeld aan functies. Een overzicht toevoegen met een actueel overzicht van rollen, functies en namen van medewerkers welke toegang hebben tot de systemen; 2. De autorisaties binnen Suwinet in lijn brengen met het beleidsdocument; 3. In beleid vast te leggen welke medewerkers een administrator-account kunnen aanvragen; 4. In beleid een paragraaf toevoegen waarin beschreven staan welke functie / functionaris de rol administrator krijgt toegewezen; 5. De autorisatie van de administrator accounts in lijn brengen met het beleidsdocument; 6. Een procedure omtrent het muteren van gebruikersaccounts bij in dienst, functiewijziging en uitdienst opstellen; 7. Binnen de organisatie een functionaris(sen) verantwoordelijk maken voor het beheren van de gebruikersaccounts van Suwi en het uitvoeren van procedure(s); 3.4 Security Officer 1. In beleid borgen dat een periodieke controle op toegekende autorisaties uitgevoerd wordt; 2. In beleid een paragraaf toevoegen waarin beschreven staan dat jaarlijks een controle uitgevoerd wordt op de toegekende autorisaties binnen de systemen en aan wie gerapporteerd wordt over de bevindingen; 3. Binnen de organisatie een functionaris(sen) verantwoordelijk maken voor het uitvoeren van genoemde controle; 4. In beleid vastleggen welke mogelijke rollen een gebruiker toegekend kan krijgen; 5. Het opstellen van een functiebeschrijving van een Security Officer. 3.5 Autorisatieprocedure 1. In beleid een heldere autorisatieprocedure opstellen en -matrix met criteria om toegang te morgen verlenen tot de Suwinet applicaties. Ook staat de registratie van de autorisaties hierin beschreven. 6/8 Verbeterplan Suwinet

3.6 Controle op toegang en gebruik 1. De functioneel beheerder van Suwi controleert meerdere keren per jaar de verleende toegangsrechten; 2. De Security Officer en de functioneel beheerder analyseren de verkregen rapportages van het BKWI over het gebruik van Suwi gegevens; 3. Er is een medewerker verantwoordelijk gemaakt om periodiek ten minste twee keer per jaar naar de beveiliging van Suwinet te kijken. 7/8 Verbeterplan Suwinet

4. Hoe te borgen De verantwoordelijkheden voor 'Autorisatie' en 'Controle & Kwaliteitsborging' (3.3 Functiescheiding) moeten worden vastgelegd en formeel worden vastgesteld door het management in een beleidsplan. Het is belangrijk dit goed te borgen in de organisatie. 4.1 Beleidsplan In het beleidsplan worden de kaders gesteld. Welke functies krijgen toegang tot welke gegevens, hoe worden controles uitgevoerd, welke maatregelen worden genomen bij misbruik en wat zijn de spelregels rondom autorisatie van Suwi. Hiervoor wordt een protocol opgesteld wat onderdeel uitmaakt van het informatiebeveiligingsbeleid (3.1 Informatiebeveiligingsbeleid). 4.2 Communicatie Dit plan moet wel van hoog tot laag goed bekend en gedragen zijn in de organisatie, dus uitdragen van het beleid via onder andere nieuwsbrieven, intranet en bijeenkomsten is noodzakelijk (3.2 Uitdragen van beleid). Daarnaast zal het beleid regelmatig geëvalueerd worden. Daarvoor zal het als vast onderdeel van de Planning & Control cyclus opgenomen worden. 8/8 Verbeterplan Suwinet

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback