Verbeterplan Suwinet
Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer... 4 2.5 Autorisatieprocedure... 5 2.6 Controle op toegang en gebruik... 5 3. Aanpak per verbeterpunt... 6 3.1 Informatiebeveiligingsbeleid... 6 3.2 Uitdragen van het beleid... 6 3.3 Functiescheiding... 6 3.4 Security Officer... 6 3.5 Autorisatieprocedure... 6 3.6 Controle op toegang en gebruik... 7 4. Hoe te borgen... 8 4.1 Beleidsplan... 8 4.2 Communicatie... 8 2/8 Verbeterplan Suwinet
1. Aanleiding Via Suwinet vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op voor uitkeringsverstrekking en handhaving. Binnen een paar seconden een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen er op dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen. Omdat gemeenteambtenaren met persoonsgegevens werken, is zorgvuldig en integer gebruik van deze gegevens erg belangrijk. In de brief van 19 december 2013 aan de gemeenteraad refereert de staatssecretaris van het Ministerie Sociale Zaken en Werkgelegenheid aan een onderzoek van de Inspectie Sociale Zaken en Werkgelegenheid (SZW). Het onderzoek betreft een steekproefonderzoek waaruit is gebleken dat slechts 4 procent van alle gemeenten de beveiliging van Suwinet volledig op orde heeft. De gemeente Súdwest-Fryslân viel niet in deze steekproef. Gemeenten moeten 7 maatregelen (normen) nemen om ervoor te zorgen dat gegevens op Suwinet niet zomaar worden opgevraagd. Die maatregelen hebben bijvoorbeeld betrekking op het onderhouden van gebruikersaccounts en de controle op door personeel opgevraagde gegevens. Resultaat eerder onderzoek Uit onderzoek in 2013 bleek dat Súdwest-Fryslân aan 6 van de 7 normen voldeed. Een score van 79% op orde. Uit de inspectierapportage is gebleken dat meer dan de helft van de 80 steekproefgemeenten voldoet aan slechts 0, 1 of 2 normen. Kortom vergeleken met de meeste gemeenten uit het onderzoek had Súdwest-Fryslân een prima score. Verder heeft Súdwest-Fryslân er werk van gemaakt en de 7e norm (analyse gebruik) is ook succesvol geïmplementeerd. Aangescherpte (sub)beveiligingsnormen Op basis van het steekproefonderzoek concludeert de Inspectie van Sociale Zaken en Werkgelegenheid (SZW) dat verbetering van de prestaties van een groot deel van de gemeenten aangaande het gebruik Suwinet noodzakelijk is. Daarnaast pakken gemeenten met name in het kader van de drie decentralisaties steeds vaker meer taken op waarbij directe dienstverlening aan de burger centraal staat. Veilige wisseling en gebruik van gegevens van burgers is daarvoor essentieel. Daarom heeft de Inspectie van SZW gemeenten aangespoord om een verbetertraject te starten, zoals het opstellen van dit verplichte verbeterplan. Daarbij zijn de 7 normen flink aangescherpt. Elke norm is onderverdeeld in subnormen. Uit de zelfanalyse die Súdwest-Fryslân in het eerste kwartaal van 2014 heeft uitgevoerd blijkt dat Súdwest-Fryslân nu nog maar aan 1 van de 7 normen voldoet: een actueel Informatiebeveiligingsbeleid. Aan de andere normen voldoet Súdwest-Fryslân niet (geheel) meer. De aard van de overige normen hebben onder andere betrekking op zowel inrichting van de organisatie als de werkprocessen. Aan de hand van dit verbeterplan worden de nieuw waargenomen verbeterpunten opgepakt. In het laatste kwartaal van 2014 zal er opnieuw een zelfanalyse uitgevoerd worden. De uitkomsten ervan worden gedeeld met de Vereniging van Nederlandse Gemeenten (VNG) en het Bureau Keteninformatisering Werk en Inkomen (BKWI). 3/8 Verbeterplan Suwinet
2. Verbeterpunten Suwinet In het onderzoek zijn de volgende verbeterpunten geconstateerd: 2.1 Informatiebeveiligingsbeleid De gemeente Súdwest-Fryslân heeft een vastgesteld informatiebeveiligingsbeleid. Het enige wat hieraan ontbreekt is een specifiek op Suwinet gericht hoofdstuk. 1. Er is een specifiek op Suwinet gericht informatiebeveiligingsbeleid of veiligheidsplan aanwezig of er is een Suwi-specifieke passage in een algemeen plan aanwezig; 2. Dit beleid, dit plan of deze passage heeft specifiek betrekking op Súdwest-Fryslân; 3. De goedkeuring is formeel vastgesteld. Het beleid, het plan of de passage is ondertekend of van de goedkeuring is expliciet melding gemaakt in het verslag van de betreffende vergadering. 2.2 Uitdragen van het beleid 1. Er is het afgelopen jaar minimaal 2x een actie geweest om de gebruikers (opnieuw) te attenderen op het bestaan van het veiligheidsbeleid, -plan of passage. 2.3 Functiescheiding Bij functiescheiding is het belangrijk dat bij verschillende personen is belegd: - De uitvoering van taken (het gebruik van Suwinet); - Het beheer van autorisaties (toegang verlenen tot Suwinet); - De kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van Suwinet) - en management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik Suwinet). 1. Deze scheiding is schriftelijk vastgelegd; 2. Er is een aanvullend document aanwezig waaruit blijkt dat ten aanzien van functiescheiding duidelijke keuzes zijn gemaakt bij het beleggen van taken. Of er is een onderbouwde verklaring waarom zo n document er niet is en er is een alternatieve aanpak om misbruik te voorkomen (bijvoorbeeld extra controle waar functiescheiding niet of minder goed mogelijk bleek). 2.4 Security Officer 1. Er is een medewerker verantwoordelijk gemaakt om periodiek ten minste twee keer per jaar naar de beveiliging van Suwinet kijken; 2. Deze medewerker rapporteert en adviseert periodiek rechtstreeks aan het management en / of de directie / of het college van B&W; 3. De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet; 4. Dat is vastgelegd in zijn / haar functieomschrijving inclusief takenoverzicht; 5. In ieder geval moet deze functionaris de beveiligingsprocedures en -maatregelen in het kader van Suwinet zo beheren en beheersen dat de beveiliging van Suwinet overeenkomt met de wettelijke eisen. 4/8 Verbeterplan Suwinet
2.5 Autorisatieprocedure Elke gebruiker van Suwinet moet geautoriseerd worden. 1. Er is een formeel vastgelegde autorisatieprocedure waarin functies aan autorisaties en in het verlengde daarvan aan rollen worden gekoppeld; 2. Het accountbestand wordt meerdere keren per jaar gecontroleerd en aansluitend worden inactieve accounts verwijderd; 3. Er is geen toegang verstrekt buiten de sociale dienst, de gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten. Voor het gebruik door gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten is een apart contract afgesloten. Het is op dit moment niet geoorloofd om WMO-medewerkers, medewerkers Parkeerbeheer of andere hierboven niet benoemde medewerkers toegang te verstrekken tot Suwinet. 2.6 Controle op toegang en gebruik Gemeente Súdwest-Fryslân heeft een Security Officer benoemd. Daarnaast is een Suwi-beheerder aangewezen binnen de vakafdeling. Beiden zijn belast met de volgende taken: 1. Een medewerker van de gemeente vraagt ten minste meerdere keren per jaar bij BKWI een rapportage over het gebruik van Suwinet-inkijk op; 2. De beoordeling van deze rapportage (door wie en langs welke criteria) is centraal belegd; 3. Deze beoordelaar maakt hiervan een schriftelijk verslag; 4. Als uit dit verslag blijkt dat nadere beoordeling gewenst is, wordt vervolgens bij BKWI een specifieke rapportage opgevraagd die vervolgens wordt beoordeeld; 5. Bij geconstateerd oneigenlijk gebruik c.q. misbruik wordt er ook opgetreden c.q. gesanctioneerd. 5/8 Verbeterplan Suwinet
3. Aanpak per verbeterpunt Het voorstel is om op korte termijn, het komende half jaar, de verbeterpunten 2.1 t/m 2.6 op te pakken, de aanpak hiervoor wordt hieronder beschreven. De normen zijn sterk met elkaar verbonden en vullen elkaar aan. 3.1 Informatiebeveiligingsbeleid 1. Een specifiek op Suwinet gerichte passage in beleid vastleggen. 3.2 Uitdragen van het beleid 1. We zijn op basis van een communicatieplan bezig met bewustzijn bij de medewerkers. De gebruikers van Suwinet zullen apart benaderd worden, om zo te borgen dat medewerkers op de hoogte zijn van de inhoud en betekenis van het informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid is voor alle gebruikers centraal beschikbaar op intranet. 3.3 Functiescheiding 1. In een document toegangsbeheer Suwinet beschrijven welke rollen er zijn t.a.v. het beheer en toegang tot Suwinet. Per rol beschrijven welke bevoegdheden / autorisaties deze rol heeft binnen de systemen. Tevens beschrijven welke eventuele combinaties van rollen toegestaan zijn. Een overzicht toevoegen met rollen gekoppeld aan functies. Een overzicht toevoegen met een actueel overzicht van rollen, functies en namen van medewerkers welke toegang hebben tot de systemen; 2. De autorisaties binnen Suwinet in lijn brengen met het beleidsdocument; 3. In beleid vast te leggen welke medewerkers een administrator-account kunnen aanvragen; 4. In beleid een paragraaf toevoegen waarin beschreven staan welke functie / functionaris de rol administrator krijgt toegewezen; 5. De autorisatie van de administrator accounts in lijn brengen met het beleidsdocument; 6. Een procedure omtrent het muteren van gebruikersaccounts bij in dienst, functiewijziging en uitdienst opstellen; 7. Binnen de organisatie een functionaris(sen) verantwoordelijk maken voor het beheren van de gebruikersaccounts van Suwi en het uitvoeren van procedure(s); 3.4 Security Officer 1. In beleid borgen dat een periodieke controle op toegekende autorisaties uitgevoerd wordt; 2. In beleid een paragraaf toevoegen waarin beschreven staan dat jaarlijks een controle uitgevoerd wordt op de toegekende autorisaties binnen de systemen en aan wie gerapporteerd wordt over de bevindingen; 3. Binnen de organisatie een functionaris(sen) verantwoordelijk maken voor het uitvoeren van genoemde controle; 4. In beleid vastleggen welke mogelijke rollen een gebruiker toegekend kan krijgen; 5. Het opstellen van een functiebeschrijving van een Security Officer. 3.5 Autorisatieprocedure 1. In beleid een heldere autorisatieprocedure opstellen en -matrix met criteria om toegang te morgen verlenen tot de Suwinet applicaties. Ook staat de registratie van de autorisaties hierin beschreven. 6/8 Verbeterplan Suwinet
3.6 Controle op toegang en gebruik 1. De functioneel beheerder van Suwi controleert meerdere keren per jaar de verleende toegangsrechten; 2. De Security Officer en de functioneel beheerder analyseren de verkregen rapportages van het BKWI over het gebruik van Suwi gegevens; 3. Er is een medewerker verantwoordelijk gemaakt om periodiek ten minste twee keer per jaar naar de beveiliging van Suwinet te kijken. 7/8 Verbeterplan Suwinet
4. Hoe te borgen De verantwoordelijkheden voor 'Autorisatie' en 'Controle & Kwaliteitsborging' (3.3 Functiescheiding) moeten worden vastgelegd en formeel worden vastgesteld door het management in een beleidsplan. Het is belangrijk dit goed te borgen in de organisatie. 4.1 Beleidsplan In het beleidsplan worden de kaders gesteld. Welke functies krijgen toegang tot welke gegevens, hoe worden controles uitgevoerd, welke maatregelen worden genomen bij misbruik en wat zijn de spelregels rondom autorisatie van Suwi. Hiervoor wordt een protocol opgesteld wat onderdeel uitmaakt van het informatiebeveiligingsbeleid (3.1 Informatiebeveiligingsbeleid). 4.2 Communicatie Dit plan moet wel van hoog tot laag goed bekend en gedragen zijn in de organisatie, dus uitdragen van het beleid via onder andere nieuwsbrieven, intranet en bijeenkomsten is noodzakelijk (3.2 Uitdragen van beleid). Daarnaast zal het beleid regelmatig geëvalueerd worden. Daarvoor zal het als vast onderdeel van de Planning & Control cyclus opgenomen worden. 8/8 Verbeterplan Suwinet