uw brief van uw kenmerk ons kenmerk Brielle, 12 maart 2015 verzonden

Vergelijkbare documenten
r'h'hil-lli'h'i'-i'l-ll-ll-ll

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

i\ r:.. ING. 1 8 FEB 2016

rliiiiihihhiiiivi.ilhn

2015; definitief Verslag van bevindingen

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

16R RAADSINFORMATIEBRIEF 16R college van burgemeester en wethouders Datum 12 januari 2016 Portefeuillehouder(s) : wethouder Koster

~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Norm 1.3 Beveiligingsplan

Verbeterplan Suwinet

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Woudenberg

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Brielle

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Baarle-Nassau

College bescherming persoonsgegevens. Onderzoek naar de beveiliging van persoonsgegevens via Suwinet Gemeente Werkendam

il'-'ih'li-l'li'-ihih

illinium i ui /12/2013

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Enschede

INGEKOMEN INGEKOMEN. reg. nr. \ 0 JAN. 20K

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Heerenveen

ff ij. Ministerievan SocialeZakenen X. Werkgelegenheid

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Delft

Aan de voorzitter Raad van Bestuur CWI De heer drs. R. de Groot Postbus HD AMSTERDAM CWI/2006/1083 UB/A/2006/ Geachte heer De Groot,

N LZwi3a^ Pumc/èn&ti, Ct^Q^rVvj

Handreiking Suwinet Attentiepunten en illustrataties

Rekenkamercommissie Brummen

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

Handreiking Suwi autorisaties. voor het gemeentelijk domein Werk en Inkomen

Documentnummer: : Eindnotitie implementatie privacy

Aan welke eisen moet het beveiligingsplan voldoen?

Nota Informatiebeveiligingsbeleid Wijzer 2015

GEMEENTE OLDEBROEK. Lijst van beslissingen van de vergadering van burgemeester en wethouders. van 15 maart Aanwezig:

Rekenkameronderzoek. informatieveiligheid en privacy. sociaal domein gemeente Eindhoven. Eindhoven, 17 mei 2016

Datum 30 juni 2015 Betreft Aanvalsplan beveiliging Suwinet en beoordeling doelgroep banenafspraak

i-'l-li'i'-hliwi'-i'l

B&W-nota. zaaknummer: blad: 1/5 datum nota: 29 april 2016

Procedure aansluiting Suwinet Services

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Stand van zaken eenmalige gegevensuitvraag werk en inkomen

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Besluitenlijst d.d. d.d. d.d. [ ]Akkoordstukken -- [X]Openbaar [ ]Besloten --

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Introductie Suwinet en ENSIA

Handreiking Nieuwe Suwi Autorisaties

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Zutphen

Ons kenmerk C100/ Aantal bijlagen 1

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Rekenkamercommissie Vallei en Veluwerand

Nummer ZD College van burgemeester en wethouders. Het college van burgemeester en wethouders besluit

B en W-nummer ; besluit d.d Onderwerp Inspectie BAG-beheer oktober 2014

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Informatie over logging gebruik Suwinet-Inkijk

Gemeente Haarlem. Drs. Joyce Langenacker wethouder Werk, Economische Zaken, Sociale Zaken (Participatiewet), Wonen, Coördinatie Sociaal Domein

ľľih-ll-lli'hh'i'l-lh'lii"-!!

REGLEMENT VAN DE AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

UITSPRAAK. [Bestuur], gevestigd te [vestigingsplaats], verweerder, hierna te noemen de werkgever

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Nunspeet

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

College bescherming persoonsgegevens. Onderzoek beveiliging van persoonsgegevens via Suwinet Gemeente Eindhoven

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

uw brief van uw kenmerk ons kenmerk Brielle, 23 september 2015 verzonden

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Datum 1 oktober 2015 Betreft Kamervraag/vragen van het lid Schut-Welkzijn en Van Wijngaarden (VVD)

Dienst Uitvoering Onderwijs Ministerie van Onderwijs, Cultuuren Wetenschap

Stichting Schoolleidersregister PO T.a.v. Mevrouw drs. E.D.C.M. Lambrechts Postbus AL..UTRECHT

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Veilig gebruik Suwinet 2013

Het beleidsterrein organisatie omvat het zorgdragen voor het beheer en de ontwikkeling van:

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 3 december 2015 Betreft Kamervragen. Geachte voorzitter,

Geachte heren Van der Want en Klamer, geacht College van Burgemeester en Wethouders,

SLZ/Beleid Wethouder Borgonjen. van: samenleving d.d. 18 januari 2016 d.d. 9 februari 2016

Datum 13 december Betreft Bonus Wsw over Geacht college,

*ZEA006D8E93* Raadsvergadering d.d. 30 juni 2015

.l,,. l,. l..,l,l,l.., l ll..

ons kenmerk ECSD/U Lbr. 14/091

Aan de Voorzitter Raad van bestuur SVB de heer drs. E.F. Stoové Postbus BH AMSTELVEEN

Ons kenmerk UB/04/ Datum 19 mei 2004

Verantwoordingsrichtlijn GeVS 2019 (versie )

Lees onderstaande informatie eerst aandachtig door voorafgaand aan de zelftest

E:

Dienstverleningsovereenkomst VOORNE-PUTTEN WERKT - WSW Nissewaard Westvoorne 2017 e.v.

1. Inleiding 2513AA22XA

Tweede Kamer der Staten-Generaal

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Transcriptie:

Aan de leden van de commissie Samenleving behandeld door: J.F.J. Knol t: 0181-471117 e: j.knol@brielle.nl bijlage(n): uw brief van uw kenmerk ons kenmerk Brielle, 12 maart 2015 verzonden onderwerp: informatievoorziening Geachte mevrouw, mijnheer, Wij houden u geregeld op de hoogte van de voortgang van een aantal zaken. In dat kader het volgende.. In de commissie Samenleving van 16 februari 2015 is door de SP gevraagd naar de eventuele gevolgen van het nog niet afgerond zijn van de cao-onderhandelingen bij de wsw voor werknemers. Navraag bij de Weiplaat leerde dat de medewerkers daar hoger zijn ingeschaald dan de laagste schaal in de cao-wsw, namelijk op het niveau van het wettelijk minimumloon. Dat wordt twee keer per jaar aangepast aan de ontwikkeling van de gemiddelde cao-lonen in Nederland (1 januari en 1 juli). De salarissen van de betreffende medewerkers van de Weiplaat gaan automatisch met die halfjaarlijkse stijgingen mee.. In de commissie Samenleving van 16 februari 2015 is door de SP aangegeven dat volgens haar sinds de sluiting van de huisartsenpost in Hellevoetsluis het alarmnummer 112 vaker gebeld wordt. Als dat zo is, zou dat slecht zijn voor het gebruik van de ambulance en de kosten. Navraag bij de gemeente Hellevoetsluis leert dat bij diverse partijen de gevolgen van de sluiting van de huisartsenpost op dit moment wordt geïnventariseerd. Of het alarmnummer vaker wordt gebeld moet uit de inventarisatie blijken. De commissie zal over de uitkomst worden geinformeerd.. In de commissie Samenleving van 16 februari 2015 is bij het onderwerp "Begroting 2015 Onderwijsgroep Galilei" gevraagd naar de betekenis van de tekens "+" en "-". Het exploitatieresultaat is het verschil van baten en lasten (een minpost). Als de lasten de baten overtreffen komt het totaalresultaat negatief uit. Bij de bestemmingsreserves staat een minteken bij het bedrag van 220.110, =. In het jaarverslag 2013 is aangegeven dat in 2013 Rijksmiddelen zijn toegevoegd in het kader van de regeling bijzondere en aanvullende bekostiging PO en VO die in de jaren 2014-2016 tot besteding komen. Deze besteding is als min (onttrekking) bij de betreffende bestemmingsreserve zichtbaar. [Geef tekst op] [Geef tekst op] [Geef tekst op]

. In de commissie Samenleving van 16 februari 2015 heeft de SP vragen gesteld over de eigen bijdragen m.b.t. scootmobielen ca. Daarover het volgende. De prijs van de scootmobielen is afhankelijk van de eisen waaraan een scootmobiel moet voldoen, bijvoorbeeld:. welk gewicht moet die dragen?. welke snelheid moet die maximaal kunnen rijden?. welke bijzondere beperkingen heeft de berijder en wat betekent dat voor het aanbrengen van specifieke voorzieningen? Daarnaast kunnen gebruikers soms kiezen uit meerdere modellen, die in prijs kunnen variëren. Op basis van al deze gegevens komt er uiteindelijk een koopprijs en een huurprijs uit, die per persoon dus kunnen verschillen. In de huurprijs is het onderhoud begrepen. En ook daarvoor geldt dat dat toeneemt, naarmate de scootmobiel duurdere, kwetsbare of minder duurzame elementen bevat. Vervolgens wordt door het CAK berekend welke bijdrage betrokkene dient te verstrekken. Dat gebeurt op grond van a. de inkomens- en vermogensgegevens van betrokkene door de belastingdienst, b. de door de gemeente doorgegeven prijs (zie hiervoor), c. het landelijk Uitvoeringsbesluit Wmo 2015, dat op 27 oktober 2014 bij Koninklijk Besluit is vastgesteld. Er is een veelheid van factoren (zo maakt het Uitvoeringsbesluit b.v. onderscheid in al dan niet pensioengerechtigd; al dan niet alleenstaand) die de uiteindelijke bijdrage bepaalt. Als voorbeeld hebben we vier situaties genomen, waarbij in alle vier de situaties. het fiscaal verzamelinkomen 25.000 is. het vermogen ("grondslag sparen en beleggen") 100.000. de kosten van de zorgvoorziening 275 per maand bedragen: Leefvorm Eenpersoons Eenpersoons Gezamenlijk Gezamenlijk Leeftijd Jonger dan pensioengerechtigd Pensioengerechtigd Jonger dan pensioengerechtigd Pensioengerechtigd Eigen bijdrage 142,50 208,24 86,25 142,45 Overigens geldt dat. de eigen bijdrage nooit hoger is dan de kosten van de voorziening en. het totaal van de eigen bijdragen bij het gebruik van meerdere voorzieningen nooit hoger is dan het maximale bedrag zoals door het CAK is bepaald.

. De inspectie SZW heeft een onderzoek gedaan naar het veilig gebruik van Suwinet over 2014, met name of de gemeenten voldoen aan de eisen die worden gesteld aan de beveiliging van persoonsgegevens die worden uitgewisseld binnen het Suwinet. N.a.v. de voorlopige bevinding (er wordt niet voldaan aan de gestelde normen) hebben wij in samenspraak met de gemeente Nissewaard, die in het kader van de GR Werk, Inkomen, Zorg de uitvoering regelt, een schriftelijke reactie opgesteld. Deze is als bijlage bij deze informatiebrief gevoegd. De kern ervan is dat wij van mening zijn aan vijf van de zeven normen te voldoen en dat de overige twee in het 2 e kwartaal 2015 worden gerealiseerd. Vanwege het verschil in meetmoment (Spijkenisse december 2014, de inspectie enkele maanden eerder) is de verwachting dat er verschil in waarneming van feiten blijft en dientengevolge ook van beoordeling.. In de commissie Samenleving van 16 februari 2015 is door de SP aandacht gevraagd voor de crisisdienst jeugd. Informatie over Veilig Thuis is opgenomen op de website van de gemeente en tevens in de vorm van een factsheet verzonden naar 20 instellingen in Brielle (de scholen, huisartsenpraktijken, CJG e.d.).. In de raadsvergadering van november 2014 is een motie aangenomen die het college oproept onderzoek te doen naar de vorming van een cultuurhuis in het BRESgebouw en hierover binnen 4 maanden te rapporteren. In nauwe samenspraak tussen de stichting kunst en cultuur, de bibliotheek en de scholen in Zuurland is dit opgepakt. Uit hun eerste oriëntatie lijken er voor deze functies mogelijkheden te zijn in het BRESgebouw ca. Bekeken moet worden in hoeverre de wensen van de diverse partijen, zoals bibliotheek op school, het handhaven van gesubsidieerd theater, het centreren van voorzieningen in het BRESgebouw en diverse aanpassingen aan gebouwen, stroken met de ombuigingsrichting die in de begroting 2015-2018 is opgenomen. Wij hebben opdracht gegeven ambtelijk een projectvoorstel te doen en zullen in de commissie Samenleving van april 2015 daarop terugkomen. hopen u hiermee voldoende te hebben geïnformeerd. endelijke groet, meester en wethouders etaris,.

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag Het College van Burgemeester en Wethot van de gemeente Brielle Postbus 101 3230 AC BRIELLE,l., l,.l..,l,l.l,.,l... l 4&rslr? behandeling bij K::;)\C»! iacji'(n) Burg. Ingekomen Reg.nr. GEMEENTE E»IEIrKE v \ j»aknizfr< Z"fc> Se er. 2 8 JAN 2015 Datum 27 januari 2015 Betreft Conceptverslag van bevindingen onderzoek Veilig gebruik Suwinet Bvo j/n Directie Werk en Inkomen Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat 4 T 070 333 44 44 www.lnspectieszw.nl Contactpersoon dhr. drs. ir. J.W.T.M. Urselmann T 070 333 52 26 JUrselmann@minszw.nl Onze referentie Geacht College, Hierbij ontvangt u het conceptverslag van bevindingen van het onderzoek naar het veilig gebruik van Suwinet oyer 2014. Op verzoek van de staatssecretaris beantwoordt de Inspectie SZW de vraag of gemeenten voldoen aan de eisen die worden gesteld aan de beveiliging van persoonsgegevens die worden uitgewisseld binnen het Suwinet. In de brief van 14 juli 2014 heb ik u geïnformeerd over dit onderzoek, in de brief verzocht ik u ook de naam en het mailadres van de voor de beveiliging van Suwinet verantwoordelijke functionaris (bijvoorbeeld de security officer) door te geven. Dit verslag geeft voor zeven geselecteerde essentiële normen aan of uw gemeente daaraan al dan niet voldoet. De Inspectie SZW baseert haar bevindingen op de door uw contactpersoon gegeven (aanvullende) antwoorden op onze vragen, de toegestuurde documenten en de gegevens van BKWI over het gebruik van Suwinet-Inkijk en Suwinet-Inlezen. De Inspectie SZW gaat bij deze bevindingen alleen uit van (formele) vastleggingen gedurende 2014 en van toereikend onderbouwde antwoorden op de gestelde vragen. Hierna is per norm een eindbeoordeling gegeven en zijn de belangrijkste bevindingen opgenomen (bij de normen met een onvoldoende beoordeling). Pagina l van 5

Bevindingen onderzoek veilig gebruik Suwinet gemeente B Hel Ie Directie Werk en Inkomen Norm 1.3 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet zijn goedgekeurd door het management van de Suwi-partij. Datum 27 januari 2015 Onze referentie Beoordeling; Het beveiligingplan was begin december nog niet formeel vastgesteld. Norm 1.4 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie. Beoordeling: Niet kon worden aangetoond dat het beveiligingsplan centraal beschikbaar is en actief onder de aandacht van de medewerkers is gebracht. Norm 1.5 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden jaarlijks geëvalueerd en indien nodig geactualiseerd. Beoordeling: Er is geen formele goedkeuring op de evaluatie. Bewijs dat de evaluatie een brede aangelegenheid is geweest binnen de gehele organisatie ontbreekt. Pagina 2 van 5

Norm 2.2 Directie Werk en Inkomen De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en gescheiden Datum Zijn belegd. 27 januari 2015 - Operationeel beheer nze referentie Functioneer beheer - Technisch beheer Aansturing ICT-leveranciers Security Officer - Autorisatiebeheer Eigenaarschap Suwinet Beoordeling: Onvoldoende functiescheiding, ook bij de security officer. Norm 2.3 De Security Officer beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status en controleert dat de beveiliging van de Suwinet maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De Security Officer rapporteert rechtstreeks aan het hoogste management. Beoordeling: Er is formeel nog geen security officer aangewezen, bewijs ontbreekt dat deze de beveiliging evalueert en rapporteert aan het hoogste management. Norm 13.1 De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen: Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie/taken; Het uniek identificeren van elke gebruiker tot één persoon; Pagina 3 van 5

Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde; Het tijdig aanpassen of wijzigen van de autorisatie bij functiewijziging of vertrek; Het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). Directie Werk en Inkomen Datum 27 januari 2015 Onze referentie Beoordeling: Er is geen bewijs dat de in opzet aanwezige autorisatieprocedure ook werkt. Er is geen antwoord gekomen op de vraag van de inspectie naar een verschil in de opgave van Brielle over het aantal zware rollen, en eenzelfde opgave van BKWI. Vastgesteld is dat er gedurende tenminste de eerste drie kwartalen van 2014 sprake is geweest van een groot aantal inactieve accounts. Norm 13.5 De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. Interne controle op rechten en gebruik van Suwinet Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens. Beoordeling: Er is geen bewijs aangeleverd van de beoordelingen en rapportages over de controle van de rapportages van BKWI, er is geen standaardprocedure voor deze controles vastgelegd. Conclusie Uw gemeente voldoet aan 0 van de 7 geselecteerde essentiële normen. Indien u van mening bent dat er een onjuiste conclusie is getrokken, kunt u tot 11 februari 2015 uw reactie doorgeven aan de Inspectie SZW, ter attentie van de projectleider van dit onderzoek, de heer drs. ir. 3.W.T.M. Urselmann (iurselmann@inspectieszw.no. Wanneer het conceptverslag van bevindingen u geen aanleiding geeft te reageren, verzoek ik u dat binnen de gestelde periode mee te delen. Pagina 4 van 5

U ontvangt vervolgens, na beoordeling van uw reactie, het definitieve verslag van bevindingen. Deze definitieve versie wordt ook aan de gemeenteraad gezonden. Directie werk en inkomen Aan de hand van de definitieve verslagen van bevindingen van alle 108 onderzochte gemeenten zal de Inspectie SZW een rapportage opstellen. Hierin zullen de Datum onderzochte gemeenten bij name worden genoemd (conform het vorige onder- 27 januari 2015 zoek). De conceptrapportage zal voor een bestuurlijke reactie worden voorgelegd on2e referentie aan VNG/Divosa. De rapportage wordt vervolgens door de staatssecretaris aangeboden aan de Eerste en Tweede Kamer. Hoogachtend, drs. C.H.LM. van de Louw Directeur cc: contactpersoon dhr, Slavenburg Pagina 5 van 5

G E M E E N T : Bn'cllc Inspectie SZW Directie Werk en Inkomen Postbus 90801 2509 LV DEN HAAG behandeld door. A. Prins t: 0181-471134 e: a.prlns@brielle.nl bljlage(n): uw brief van 28-1-2015 uw kenmerk ons kenmerk Brielle, 23 februari 2015 Verzonden onderwerp: Conceptverslag van bevindingen onderzoek Veilig gebruik Suwinet Geachte Directie, Omdat de gemeente Nissewaard de uitvoerder is van de taken in het kader van de gemeenschappelijke regeling ter uitvoering van de aan de gemeenten opgedragen taken op het gebied van werk, inkomen en zorg, heeft het onderzoek naar het veilig gebruik van SUWInet over 2014, zich gericht op de situatie bij de gemeente Spijkenisse (vanaf 1 januari 2015 de fusiegemeente Nissewaard). Het conceptverslag van dit onderzoek laat zien dat de gemeente voldoet aan 0 van de 7 essentiële normen van informatiebeveiliging in het kader van SUWInet. In 2014 is er binnen de gemeente Nissewaard (toen Spijkenisse) hard gewerkt om de resultaten van de steekproef in 2013 te verbeteren. Wij zijn er helaas niet in geslaagd om alle noodzakelijke besluitvorming op tijd rond te krijgen. Dit werd mede veroorzaakt door het feit dat de gemeente Spijkenisse verwikkeld was in een proces van fusie. Bij aankondiging van het onderzoek hebben wij u hiervan ook op de hoogte gebracht en u verzocht ons van het onderzoek vrij te stellen. De besluitvorming is op 9 december rondgekomen, wij zijn de mening toegedaan dat wij na deze vaststelling voldoen aan de normen 1.3, 1.4, 1,5, 2.2 en 13.1. Hiermee blijven de normen 2.3 en 13.5 waaraan wij op dit moment niet voldoen. Wij menen dat wij met de in 2014 ingeslagen weg erin zullen slagen om ook aan die normen te voldoen in de loop van het tweede kwartaal 2015. De gemeente is uitgenodigd om naar aanleiding van het conceptverslag te reageren op de conclusies. Per onderzochte norm vind u in deze memo onze reactie. Norm 1.3 Het informatiebeveiligingsbeleid en het bevei/igingsplan van het Suwinet zijn goedgekeurd door het management van de Suwi-partij. Bezoekadres: SU'dskanfoo<, Slecr eld 36. Erieile re'ei'oon OlCl 47 11 il fóy, C1Ö1 41 Hl 18 "ü.;u ; dres- Postbus 101, 3230 AC Brielle * -' brieüe.-! e mail: infc@b(ielie ni

Beoordeling: Het beveiligingplan was begin december nog niet formeel Vastgesteld Uw bevinding dat het beveiligingsplan begin december nog niet formeel is vastgesteld is correct. Pas op 9 december heeft het college van B&W van de gemeente Spijkenisse het beveiligingsplan vastgesteld. Ter bewijsvoering treft u in de bijlagen het ondertekende B&W voorstel aan inclusief de bijbehorende stukken. Norm 1.4 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie. Beoordeling: Niet kon worden aangetoond dat het beveiligingsplan centraal beschikbaar is en actief onder de aandacht van de medewerkers is gebracht. Uw bevinding dat wij niet hebben aangetoond dat het beveiligingsplan centraal beschikbaar is en actief onder de aandacht van het personeel is gebracht is correct. Dit hangt samen met het feit dat ten tijde van de controle niet was voldaan aan norm 1.3. Ondertussen is het beveiligingsplan centraal beschikbaar voor de medewerkers van de gemeente Nissewaard. Door middel van een bericht op ons intranet is het personeel hiervan op de hoogte gebracht. Verder is aan alle medewerkers die toegang hebben tot SUWInet de SUWInet Services jaarkalender 2015 uitgereikt en is er in de afdelingsoverleggen aandacht besteed aan informatiebeveiliging. In het tweede kwartaal 2015 zal gemeentebreed de aandacht voor informatiebeveiliging worden opgevoerd door de inzet van de informatiebeveiliging bewustzijnstool van Be One Infosecure. Norm 1.5 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden jaarlijks geëvalueerd en indien nodig geactualiseerd. Beoordeling: Br is geen formele goedkeuring op de evaluatie. Bewijs dat de evaluatie een brede aangelegenheid is geweest binnen de gehele organisatie ontbreekt. Met het vaststellen van het beleid en het plan worden impliciet ook de daarin opgenomen evaluatiemomenten goedgekeurd door het college. De brede evaluatie waar in deze norm over gesproken wordt zal, zolang het een beleid en plan gericht op SUWInet betreft nooit breder worden dan die organisatieonderdelen waarin SUWInet gebruikt wordt. Na de definitieve invoering van de BIG, waarmee de gemeente Nissewaard actief aan de gang is zal de evaluatie breder zijn omdat hiermee automatisch de informatiebeveiliging in een veel breder gebied aan de orde komt. Norm 2.2 De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, pagina 2 van 5 van brief d.d. 4 februari 2015 Inzake X

processen en infrastructuur moeten zijn beschreven en duidelijk en gescheiden zijn belegd. Operationeel beheer Functioneer beheer Technisch beheer Aansturing ICT-leveranciers Security Officer Autorisatiebeheer Eigenaarschap Suwinet Beoordeling: Onvoldoende functiescheiding, ook bij de security officer. Wij zijn het niet eens met uw beoordeling dat er, op dit moment, onvoldoende functiescheiding is. De functiescheiding zoals beschreven in de geleverde stukken is zeker niet optimaal. Dit heeft voor een belangrijk deel te maken met de huidige organisatie van de informatiebeveiliging. De huidige organisatie is gericht op verantwoording in deelgebieden (SUWI, BRP, DigiD etc.) dit maakt dat de toekenning van functies en verantwoordelijkheden in dit gebied ook binnen een selecte groep plaatsvindt. Wij verwachten dat in de definitieve Informatiebeveiligingsorganisatie, waarbij alles rondom informatiebeveiliging in een breder perspectief wordt opgepakt (BIG) ook in uw ogen zal voldoen aan de gestelde eisen. Norm 2.3 De Security Officer beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status en controleert dat de beveiliging van de Suwinet maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De Security Officer rapporteert rechtstreeks aan het hoogste management. Beoordeling: Er is formeel nog geen security officer aangewezen, bewijs ontbreekt dat deze de beveiliging evalueert en rapporteert aan het hoogste management. Uw constatering dat er formeel nog geen SO is aangesteld is correct. Overigens wordt op dit moment regionaal (Voorne-Putten) het vraagstuk rondom de Security Officer opgepakt. Wij zijn hiermee in een vergevorderd stadium waarbij de SO voor het technische deel wordt ondergebracht bij het SCC Syntrophos en waarbij iedere gemeente voor het overige deel van het takenpakket een eigen SO zal aanstellen (of deels al heeft aangesteld) Norm 13.1 De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen: Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie/taken; pagina 3 van 5 van brief d.d. 4 februari 2015 inzake X

Het uniek identificeren van elke gebruiker tot één persoon; Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde; Het tijdig aanpassen of wijzigen van de autorisatie bij functiewijziging of vertrek; Het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). Beoordeling: Er is geen bewijs dat de in opzet aanwezige autorisatieprocedure ook werkt. Br is geen antwoord gekomen op de vraag van de inspectie naar een verschil in de opgave van Brielle over het aantal zware rollen, en eenzelfde opgave van BKWI. Vastgesteld is dat er gedurende tenminste de eerste drie kwartalen van 2014 sprake is geweest van een groot aantal inactieve accounts. Wij hebben inderdaad geen bewijs geleverd dat de geleverde autorisatieprocedure ook werkt. U zult begrijpen dat dit komt omdat de procedure ook pas in werking is getreden na vaststelling door het college van Nissewaard. Naar aanleiding van de aan ons gemelde constateringen is de toekenning van rollen aangepast. In de huidige situatie zijn naar onze overtuiging, in aantal, minder zware rollen toegekend. In de 'oude'situatie is er aan de problematiek van inactieve accounts relatief weinig aandacht besteed. Uitvoering van het nieuwe beleid geeft de beheerder meer gelegenheid om in te grijpen op inactieve accounts. Onze verwachting is dat deze problematiek zich op korte termijn zal oplossen. Norm 13.5 De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. Interne controle op rechten en gebruik van Suwinet Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens. Beoordeling: Er is geen bewijs aangeleverd van de beoordelingen en rapportages over de controle van de rapportages van BKWI, er is geen standaardprocedure voor deze controles vastgelegd. Uw bevinding is terecht, onderdeel van de besluitvorming op 9 december is dat na besluitvorming het controleplan inclusief standaardprocedures ontwikkeld zouden worden. Het ontwikkelen van het controleplan en de bijbehorende procedures is vertraagd als gevolg van de werkzaamheden in het kader van de samenvoeging van de gemeenten Spijkenisse en Bernisse tot Nissewaard. Wij verwachten dat de ontwikkeling hiervan in het tweede kwartaal 2015 zal zijn afgerond. pagina 4 van 5 van brief d.d. 4 februari 2015 inzake X

Heeft u vragen over of opmerkingen op deze brief? Neem dan contact op met A. Prins. Met vriendelijke groet, Burgemeester en wethouders van Brielle namens dezen, het hcjofd/van de'afdeling beleid Par. pagina 5 van 5 van brief d.d. 4 februari 2015 inzake X

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback