In deze informatie wordt puntsgewijs ingegaan op de in deze motie gestelde vragen.

Vergelijkbare documenten
Wettelijke kaders voor de omgang met gegevens

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Bescherming Persoonsgegevens. Presentatie LAC Zuid

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

ECIB/U Lbr. 17/010

Privacy beleid Bavaria Zeilclub

Algemene verordening gegevensbescherming

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Het verzamelen, vastleggen, opslaan en doorgeven van uw gegevens wordt het verwerken van persoonsgegevens genoemd.

CHECKLIST AVG VERMOGENSFONDSEN April 2018

Privacyverklaring voor opdrachtgevers

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

Privacybeleid gemeente Wierden

PRIVACYVERKLARING FEYENOORD CITY. Bij het verwerken van persoonsgegevens neemt Feyenoord City altijd de volgende beginselen in acht:

Privacyverklaring Therapeuten VVET

Privacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen

Privacyreglement Top Support Dakwerken v.o.f.

RSM NEDERLAND PRIVACY VERKLARING

Algemene Verordening Gegevensbescherming

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

General Data Protection Regulation (GDPR)

Privacy reglement. Pagina 1 van 9

Cursus Privacy & AVG Sport Support. 16 april 2018 Haarlem

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Deze checklist helpt je zorgvuldig en volgens de wetgeving te werken met de persoonsgegevens van o.a. medewerkers en studenten 1.

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn

Datalek dichten en voorkomen. 21 april 2017

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ViiZ. ViiZ. Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID

Privacyreglement WSVH

Privacyreglement Medewerkers Welzijn Stede Broec

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Reglement privacy gemeente Goes 18INT01558

GAAT U NETJES MET PERSOONSGEGEVENS OM?

Privacy statement gebaseerd op de Algemene verordening gegevensbescherming (AVG)

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Verwerkersovereenkomst

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

Privacyverordening gemeente Utrecht. Utrecht.nl

PRIVACY REGLEMENT ORIONIS WALCHEREN

Functionaris gegevensbescherming(fg) of Data Protection Officer (DPO)

Alle betrokkenen moeten erop kunnen vertrouwen dat ons bedrijf zorgvuldig en veilig met de ontvangen persoonsgegevens omgaat.

PRIVACYVERKLARING VERWERKING PERSOONSGEGEVENS

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Privacyverklaring voor opdrachtgevers

Verwerkersovereenkomst

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Nimava Group B.V. privacy- en cookiebeleid

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

PRIVACY GOED GEREGELD. Voorjaar 2018

Privacy beleid. Welke persoonsgegevens verwerken wij?

MODEL YOOST BV PRIVACYBELEID

Algemene Verordening Gegevensbescherming

WAAROM DEZE PRIVACYVERKLARING? WELKE PERSOONSGEGEVENS WORDEN DOOR ONS VERWERKT?

Privacyverklaring Stichting Speelotheek Pinoccio

Privacyverklaring. Model algemene voorwaarden. 1 Van der Doelen versie 0.1

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

Inleiding. Pagina 1 van 5

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Privacyverklaring Gemeente Someren

Privacybeleid Beckers Financieel Advies

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Privacy beleid bso Bink 2018

Privacyreglement Senzer

GALLANT. Privacy verklaring

Naam, adres, postcode, woonplaats van de cliënt(en) Geboortedatum van de cliënt(en) Telefoonnummer en van de cliënt(en)

PRIVACYVERKLARING 1. WERKINGSSFEER

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

PRIVACYBELEID CONVENIENT FASTGUIDE BV

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

AVG uw gegevens en privacy waarborging bij Recharged Miracles versie mei 2018

Datum Juni 2018 Privacy Protocol IB Gemeenten def V01b pdf

Privacy beleid Wet- en regelgeving Waarom verzamelen wij informatie?

Algemene Verordening Gegevensbescherming (AVG)

CONTACTGEGEVENS: The Me Project Meerstraat JE Valkenswaard KVK nr.

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.

Privacyverklaring VVET

VERANTWOORDINGSPLICHT

ons kenmerk ECIB/U Lbr. 16/046

Privacyreglement Gemeente Tiel

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

Privacyreglement Versie juni 2018

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

PRIVACY BELEID. Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;

Privacyverklaring RST Bouwservice. Persoonsgegevens die wij verwerken. Verwerkt RST Bouwservice ook bijzondere persoonsgegevens?

VERWERKERSOVEREENKOMST (EENZIJDIG)

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

>>> privacy verklaring

Verwerkersovereenkomst Algemene Verordening Gegevensbescherming (AVG)

PRIVACYREGLEMENT SERKO GEVELTECHNIEK

Transcriptie:

Informatienota informatieveiligheid en privacy Aanleiding Op 26 januari 2017 heeft een interpellatiedebat plaatsgevonden naar aanleiding van het in 2016 gesignaleerde datalek bij het bedrijf Geotax (gestolen laptop), waarbij mogelijk ook persoonsgegevens van de gemeente Medemblik zijn betrokken. Bij dit interpellatiedebat is door uw Raad een motie aangenomen, waarbij wordt gevraagd om: - Presentatie van een plan voor vergroting van de bewustwording - Informatie over beschikbaarheid van persoonsgegevens en de beveiliging hiervan - Uitgezette acties om datalekken in de toekomst te voorkomen - Presentatie van een plan voor communicatie naar burgers, waarin kenbaar wordt gemaakt op welke wijze de gemeente gegevensbeveiliging garandeert - Een regelmatige update over de voortgang van de ontwikkeling van deze plannen In de informatienota Raad met nummer IVR-17-04920, aangaande de implementatie van de nieuwe Europese regelgeving op het gebied van bescherming van persoonsgegevens (Algemene Verordening Gegevensbescherming, AVG), is reeds kort ingegaan op de motie en de relatie met het lopende AVG project. Hierbij is tevens aangegeven dat nog voor het zomerreces u een aanvullende informatienota zult ontvangen, waarbij dieper ingegaan wordt op de gestelde vragen, doch waarbij de beantwoording niet los kan worden gezien van het lopende AVG project. In deze informatie wordt puntsgewijs ingegaan op de in deze motie gestelde vragen. Plan bewustwording In het afgelopen jaar zijn binnen onze gemeentelijke organisatie meerdere bewustwordingsacties uitgevoerd, teneinde de awareness op gebied van informatiebeveiliging en privacy onder de medewerkers te vergroten. In 2016 is bijvoorbeeld een phishing mail actie uitgevoerd om enerzijds de bewustwording te vergroten en anderzijds een beeld te krijgen van de mate waarin medewerkers een phishing mail herkennen en hier adequaat op reageren. In het kader van informatiebeveiliging en het AVG project zijn recentelijk organisatiebreed presentaties gehouden. Daarnaast worden medewerkers periodiek middels intranet geïnformeerd over ontwikkelingen op gebied van informatiebeveiliging binnen onze gemeente (bijvoorbeeld over behandeling van datalekken). Voor de tweede helft van 2017 hebben wij een nieuwe actieve bewustwordingscampagne voor onze medewerkers ingepland; op 2 juni is een voor alle medewerkers toegankelijke inloopbijeenkomst georganiseerd waarin door een deskundige op laagdrempelige wijze werd ingegaan op gevoeligheid van met name persoonsgegevens en de wijze waarop daarmee werd omgegaan. Om het belang te onderstrepen van het onderwerp is deze bijeenkomst door de portefeuillehouder zelf geopend. Bewustwording op gebied van informatiebeveiliging en privacy kent geen eenmalig karakter en dient voortdurend plaats te vinden. Wij zullen hiervoor gebruik maken van producten van verschillende gespecialiseerde bedrijven op dit gebied. Deze producten kunnen meerdere malen worden ingezet. Samengevat zal de aanpak bestaan uit de onderstaande stappen tot eind 2018: Stap 1 Cultuurmeting Doel van deze stap is vooraf duidelijk en inzichtelijk krijgen wat de cultuur is en op welk niveau van bewustwording de verschillende afdelingen binnen de organisatie zich bevinden; voor deze cultuurmeting worden specifieke vragen samengesteld, uitgezet bij medewerkers van de verschillende afdelingen, antwoorden verzameld, verwerkt en geanalyseerd. Naast het feit dat de cultuurmeting inzicht biedt in de

huidige stand van zaken, draagt het door de opzet ook al bij aan de vergroting van de bewustwording. Stap 2 Training Bij bewustwording gaat het om de mate waarin iedere medewerker op elk niveau binnen de organisatie het belang van informatiebeveiliging inziet en de mate van beveiliging begrijpt. Daarnaast heeft elke medewerker inzicht in zijn of haar individuele beveiligingsverantwoordelijkheden en moet daar ook naar gehandeld worden. Hiervoor wordt gebruik gemaakt van e-learning, waarbij wordt overwogen dit in quiz-vorm met meerdere spelrondes te doen (waarbij tussen afdelingen een competitie element kan ontstaan). De inzet stemmen we af op de uitkomsten van de cultuurmeting en de aandachtspunten die hierbij naar voren zijn gekomen. Stap 3 Toetsen Na cultuurmeting en training, is het belangrijk om vast te stellen of de genomen acties ook tot een positief resultaat leiden. Afgestemd op de bij de meting al geconstateerde aandachtspunten, maken we een selectie uit de verschillende instrumenten die hiervoor beschikbaar zijn: o Mystery Quest (bezoeken van locatie teneinde zwakke punten in de fysieke toegangsbeveiliging te signaleren) o Social Engineering (benaderen van medewerkers met als doel relevante informatie van hen los te krijgen) o Social Media Scan (onderzoek naar het gebruik van social media door de organisatie en medewerkers, teneinde ongewenste publicaties boven water te krijgen). o Phishing tool (versturen van een phishing mail naar medewerkers, teneinde vast te stellen op welke wijze medewerkers hierop reageren) o USB actie (hoe reageren medewerkers op een onbekende USB stick die men ergens vindt of langs onbekende weg krijgt aangeboden; is men zich er in voldoende mate van bewust dat deze een virus kan bevatten). Daarnaast zal gebruik worden gemaakt van reeds bestaande ter beschikking staande middelen (intranet, nieuwsbrief, communicatie, etc.). Inzet van middelen wordt afgestemd op risico s die de organisatie loopt; de meting van stap 1 zal hier inzicht in geven. Overzicht informatie bij gemeente beschikbare gegevens over burgers en hoe deze beveiligd zijn In het kader van de implementatie van de AVG werken we aan de totstandkoming van het register dat de verwerkingen van persoonsgegevens bevat, zoals in de eerdere informatienota reeds is aangegeven. Per verwerking leggen we hiervoor de onderstaande gegevens vast: - Doeleinden en grondslag - Categorieen persoonsgegevens en betrokkenen - Gevoeligheid / risico s - Uitwisseling van gegevens - Bewaartermijnen - Beschrijving passende beveiligingsmaatregelen Voor de vulling van het register voeren we op dit moment privacy impact assessments (PIA s) uit in lijn met de AVG. Dit vraagt veel inzet van de hierbij betrokken medewerkers binnen onze organisatie. Net als andere gemeenten zal ook onze gemeente hiermee nog zeker tot en met volgend jaar mee bezig zijn.

In bijlage A treft u een voorlopig overzicht aan van persoonsgegevens binnen onze gemeente, zoals toegezegd. Dit overzicht vervangen we uiteindelijk door het hiervoor genoemde register dat een up-to-date stand van zaken zal bevatten en veel meer onderliggende informatie. Voor de in onze gemeente aanwezige verwerkingen van persoonsgegevens is het uitgangspunt dat minimaal wordt voldaan aan het beveiligingsniveau, zoals dat in de Baseline Informatiebeveiliging Gemeenten (BIG) is vastgelegd. Bijzondere aandacht gaat daarbij uit naar gevoelige persoonsgegevens, zoals gezondheidsgegevens (bijv. WMO ondersteuning) en inkomens- en vermogensgegevens (inclusief BSN nummer). Deze vragen extra beveiligingsmaatregelen (zoals adequate afscherming van gegevens binnen de gemeente, versleuteling van gegevens bij gegevensuitwisseling met derden via bijvoorbeeld email, extra eisen aan opslag, etc.). In het overzicht wordt aangeven welke gegevens een hogere gevoeligheid kennen en hier dus aan moeten voldoen. De PIA s geven een actueel inzicht in de mate waarin we hieraan voldoen. Acties ter voorkoming van datalekken De meeste datalekken vloeien voort uit menselijk gedrag; kennis en bewustwording zijn van belang. Technische maatregelen welke door DeSom worden genomen, zijn met name gericht op de afscherming van systemen/gegevens (firewalls, compartimentering), detectie van kwaadaardige of verdachte software welke kwaadwillenden op onze systemen willen introduceren, adequate toegangsbeveiliging en encryptie). Tot heden zijn er overigens geen datalekken naar boven gekomen die voortvloeien uit een tekortkoming van door DeSom genomen technische maatregelen; ook bij het omvangrijke Wannacry virus waren de afnemers van DeSom geen slachtoffer, mede omdat DeSom de laatste software updates ook had verwerkt. Ondanks adequate en effectieve maatregelen ter voorkoming van datalekken, zijn datalekken nooit helemaal uit te sluiten en moet elke organisatie ook zijn voorbereid op datalekken. Enerzijds kan de organisatie erop zijn voorbereid door heldere procedures en verantwoordelijkheden voor een adequate afhandeling, hetgeen voor onze gemeente ook het geval is. Anderzijds moeten we maatregelen nemen om te worden genomen om de schade zoveel mogelijk te beperken, bijvoorbeeld door beveiliging/encryptie van mobiele gegevensdragers waar gevoelige gegevens op zijn vastgelegd en mogelijkheden om deze op afstand te wissen. Een aantal van deze technische maatregelen is reeds genomen; andere maatregelen (encryptie van laptops/usb sticks) zijn in gang gezet. In afwachting van implementatie van deze aanvullende maatregelen, geldt het beleid dat geen gevoelige gegevens hierop mogen worden vastgelegd. Tenslotte is het van belang dat we de organisatie goed voorbereiden op een adequate afhandeling van datalekken (signalering, te nemen acties, melding, rapportages). Binnen de gemeente Medemblik is het proces rond afhandeling van datalekken goed vastgelegd in de procedure Incidentmanagement en respons. Communicatie naar burgers over borging informatiebeveiliging De AVG dwingt transparantie af. Dit betekent onder meer dat het hiervoor genoemde register toegankelijk dient te zijn voor de burger. Daarnaast worden burgers gewezen op hun inzage- en correctierecht, alsmede het recht om vergeten te worden. De concrete invulling hiervan zal worden meegenomen bij de implementatie van de AVG (updaten van het privacystatement, opstellen register verwerkingsactiviteiten, publicatie).

Regelmatige update over voortgang informatiebeveiliging In het komende jaar vullen we de verantwoording naar de gemeenteraad over informatiebeveiliging concreet in door het landelijke ENSIA project (eenduidige normatiek single information audit). ENSIA ondersteunt de gemeente om op integrale wijze verantwoording af te leggen over informatiebeveiliging met betrekking tot de verschillende beleidsterreinen/onderwerpen. Uitgangspunt is dat de Baseline Informatiebeveiliging Gemeenten (BIG) als gemeenschappelijk normenkader wordt gehanteerd voor elke gemeente. Met ENSIA kan de gemeente goed aansluiten op de gemeentelijke P&C cyclus, en kan het college de gemeenteraad in het jaarverslag informeren over informatiebeveiliging en privacy aspecten.

BIJLAGE OVERZICHT VERWERKINGEN PERSOONSGEGEVENS Nr. Omschrijving Extra beveiliging vanwege gevoeligheid 01 Klachten 02 Verzekeringen In een aantal gevallen BSN 03 Contactgegevens (voormalige) raadsleden, commissieleden (griffie) 05 Personeelsdossiers / salarisadministratie BSN, inkomen 06 Sollicitanten 07 Opleidingsgegevens 08 Servicedesk 09 Zaalreserveringen 10 Toegangscontrole 11 Bezwaarschriften 12 Disciplinaire maatregel Vanwege aard van het gegeven 13 Ziekteverzuim Vanwege aard van het gegeven 14 Incidentregistratiesysteem 15 Minimabeleid BSN, inkomen/vermogen, bank 16 WMO BSN, inkomen, ondersteuning 17 Leerlingenvervoer BSN 18 Invordering WWB BSN, inkomen 19 Wet op lijkbezorging BSN, inkomen 20 Heffingen BSN 21 WOZ BSN 22 Invordering belastingen BSN 23 GBA BSN 24 Ambtenaren burgerlijke stand 25 Publieke informatie gemeente 26 Kieswet 27 Wegenverkeerswet BSN 28 Naamswijziging BSN 29 Rijkswet Nederlanderschap 30 Paspoortwet BSN 31 KCC BSN (overledenen, geboren) 32 Burgerlijke stand 33 Schuldhulpverlening BSN, inkomen 34 WSNP BSN 35 Bezwaar en beroep soc. Zekerheid BSN 36 WOB 37 IOAW BSN, bank 38 WWB BSN, bank 39 IOAZ BSN, bank, gezondheid 40 WWB/ bijstandsbesluit zelfstandigen BSN, bank, gezondheid 41 WWB BSN, bank 42 Wet inburgering BSN 43 Leerplichtwet BSN 44 Servicelijn openbare ruimte 45 Bezwaar en beroep 46 Marktvergunningen 47 Milieuvergunningen en meldingen 48 APV Vergunningen

Nr. Omschrijving Extra beveiliging vanwege gevoeligheid 49 Bouwvergunningen 50 Kadastrale registratie BSN 51 Sloopvergunningen 52 Leegstandsvergunningen 53 Wet voorkeursrecht gemeenten 54 Relatiebeheersystemen 55 Vergunninghouders BSN 56 Videobeelden /cameratoezicht

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback