Nota voor burgemeester en wethouders Onderwerp Jaarrapportage Suwinet 2016 1- Notagegevens Notanummer 2017-000366 Datum 04-04-2017 Programma: 07 Inkomens-voorziening en arbeidsmarkt Portefeuillehouder Weth. Kolkman Team MOM 2- Bestuursorgaan [X]B & W 18-04-2017 [ ]Raad -- [ ]Burgemeester -- College van B & W - Burgemeester - Weth. Kolkman - Weth. Hartogh Heys - Weth. Rorink - Weth. Grijsen Besluitenlijst d.d. d.d. d.d. [ ]Akkoordstukken -- [X]Openbaar 18-04-2017 [ ]Besloten -- Routing d.d. programmamanager 20-03-2017 regiemanager 12-04-2017 wethouder 13-04-2017 par. [ ]adj.secr. -- [X]gem.secr. 23-03-2017 BIS Openbaar Status Definitief2017-04-19 Bijlagen Jaarrapportage Suwinet 2016 B & W d.d.: 18-04-2017 Besloten wordt: 1 De jaarrapportage Suwinet 2016 vast te stellen; 2 de raadsmededeling 'jaarrapportage Suwinet 2016' vast te stellen; 3 de stukken aan te bieden aan de raad; 4 de nota en het besluit openbaar te maken. Financiële aspecten: Financiële gevolgen voor de gemeente? Begrotingswijziging Nee Nee Voorstel openbaarmaking conform Wet Openbaarheid Bestuur (Wob) [X] De nota en het besluit openbaar te maken [ ] De nota en het besluit openbaar te maken vergezeld van bijgaand persbericht [ ] De nota en het besluit openbaar te maken nadat [ ] De nota en het besluit openbaar te maken, behalve [ ] Het besluit openbaar te maken, maar niet de nota, gelet op artikel: [ ] De nota en het besluit niet openbaar te maken, gelet op artikel: Kennisgeving/ Bekendmaking Awb Kennisgeving (publicatie) conform Awb Bekendmaking conform Awb Nee Nee
ADVIESRADEN: Moet een van de adviesraden gehoord worden of op de hoogte gesteld? Adviesraad/ Adviesraden Adviesraad Sociaal Domein Deventer Ja Toelichting Inleiding Met aanstellen van de Security Officer Suwinet in 2015 is in het takenpakket opgenomen dat er jaarlijks een rapportage wordt opgesteld met daarin een terugblik op de wijze waarop de informatiebeveiliging rondom Suwinet heeft gefunctioneerd. Als bijlage bij deze nota is de jaarrapportage Suwinet 2016 bijgevoegd. Daarin wordt teruggeblikt welke stappen de projectgroep in 2016 heeft gezet om de informatiebeveiliging van Suwinet op orde te brengen. Daarin is de projectgroep geslaagd; de gemeente Deventer voldoet aan de 7 normen die gesteld worden aan de informatiebeveiliging van Suwinet. Daarnaast wordt in de rapportage aangegeven hoe we ervoor kunnen zorgen dat de informatiebeveiliging op peil blijft. Uw college wordt verzocht de jaarrapportage Suwinet 2016 vast te stellen. Beoogd resultaat In juli 2016 heeft er een interne audit plaatsgevonden naar de informatiebeveiliging van Suwinet binnen de gemeente Deventer. Daaruit is gebleken dat de gemeente Deventer voldoet aan de 7 normen die gesteld worden aan de informatiebeveiliging van Suwinet. Kader Informatiebeveiligingsbeleid DOWR-i Informatiebeveiligingsplan gebruik Suwinet (Informatiebeveiligingsplan gebruik Suwinet (juni 2016) Argumenten voor en tegen Voor: Het opstellen van een jaarlijkse rapportage omtrent de informatiebeveiliging Suwinet is een taak van de Security Officer Suwinet. Tegen: Geen. Extern draagvlak (partners) De jaarrapportage zal ter informatie worden gebracht aan de Adviesraad Sociaal Domein. Financiële consequenties Geen. Aanpak/uitvoering De projectgroep gaat in 2017 verder met de informatiebeveiliging van Suwinet, zoals neergelegd in de planning voor 2017. Extra aandacht zal er in 2017 zijn voor het implementeren en monitoren van het gebruik van de whitelist. Daarmee kan slechts op gegevens worden gezocht die vantevoren het systeem zijn binnengehaald, waardoor het risico tot het plegen van misbruik sterk wordt teruggebracht. Daarnaast zal er een interne controle gehouden worden om te controleren of hetgeen wij in processen/beleid hebben vastgelegd, ook daadwerkelijk zo in praktijk wordt uitgevoerd. Tot slot zal de informatiebeveiliging van Suwinet in 2017 moeten voldoen aan een breder normenkader.
RAADSMEDEDELING Onderwerp Jaarrapportage Suwinet 2016 Mededelingennr 2017-000366 Portef.houder Weth. Kolkman Team MOM BenW-besluit d.d.: 18 april 2017 1. Inleiding: waarom deze mededeling Het college heeft in 2016 diverse acties ondernomen om de informatiebeveiliging van Suwinet op orde te brengen, met als resultaat dat de gemeente Deventer nu voldoet aan de gestelde normen. In 2017 onderneemt het college diverse acties om de informatiebeveiliging rondom SUWI op peil te houden en waar nodig nog verder te verbeteren. 2. Kader Informatiebeveiligingsbeleid DOWR-i - Informatiebeveiligingsplan gebruik Suwinet Informatiebeveiligingsplan gebruik Suwinet (juni 2016) 3. Kern van de boodschap De gemeente Deventer voldeed in 2016 aan de 7 normen die gesteld worden aan de informatiebeveiliging van Suwinet. 4. Nadere toelichting In 2016 is de projectgroep Suwinet erin geslaagd om de informatiebeveiliging van Suwinet op orde te brengen. De gemeente Deventer voldeed in 2016 aan de 7 normen die gesteld worden aan de informatiebeveiliging van Suwinet. De projectgroep Suwinet gaat in 2017 verder met de informatiebeveiliging van Suwinet, waarbij een aantal aandachtspunten gelden rondom de implementatie van de zgn. whitelist en het voldoen aan een uitgebreider normenkader.
Jaarrapportage mbt informatiebeveiliging Suwinet in 2017 Inleiding Informatiebeveiliging wordt een steeds belangrijker thema voor gemeenten. Regelmatig komen gemeenten negatief in het nieuws, omdat er datalekken zijn geconstateerd en de informatiebeveiliging niet goed op orde bleek. Gemeente Deventer wil medewerkers steeds meer bewust maken van de manier waarop zij met privacygevoelige informatie (bijv. persoonsgegevens) omgaat. Zo is in 2016 het organisatiebrede (DOWR) informatiebeveiligingsbeleid herzien. In Deventer zijn we al enige tijd bezig om de informatiebeveiliging rondom Suwinet te waarborgen. In 2015 is een projectgroep voortvarend aan de slag gegaan om de informatiebeveiliging van Suwinet op niveau te krijgen. Er is in die periode ook een Security Officer Suwinet aangesteld, die belast is met de uitvoering van een aantal taken, welke beschreven zijn in de Procedure veilig gebruik en beheer Suwinet (zie bijlage 1). Eén van die taken is om een jaarlijks een rapportage tbv de Chief Information Security Officer (CISO) op te stellen waarin de volgende zaken aan de orde komen: de uitkomsten of verrichtingen van de uit te voeren/uitgevoerde onderzoeken en toetsingen; aanwezigheid van onverenigbare rollen. frauduleus gedrag van medewerkers of niet volgen van procedures. geconstateerde tekortkomingen in de beveiligingsvoorzieningen. wijziging van procedures / afspraken / opvolgingspatroon. het handelen in afwijking met de vastgelegde functiescheiding. afwijkingen of wijzigingen op volgens de toegestane rol toegekende autorisaties. Terugblik gehouden onderzoeken Inspectie In 2014 voldeed Deventer volgens de Inspectie SZW aan 4 van de 7 normen. Een jaar later voldeed Deventer jammer genoeg aan slechts 5 van de 7 normen, ondanks dat veel maatregelen genomen waren om de informatiebeveiliging op de orde te krijgen. Dit hebben wij dan ook laten weten aan de Inspectie en aan staatssecretaris Klijnsma; naar onze mening voldeden wij in 2015 en voldoen wij op dit moment aan de 7 normen. De Inspectie heeft in 2016 opnieuw een steekproef gehouden onder een aantal gemeenten om te controleren of elke gemeente voldoet aan de 7 normen. Deventer behoorde niet tot te onderzoeken gemeenten. Dit neemt niet weg dat het belangrijk blijft om gefocust te zijn op het (blijven) verbeteren van de informatiebeveiliging van Suwinet. Raadsvragen In februari 2016 heeft D 66 vragen gesteld ex artikel 46 RvO. Deze vragen zagen enerzijds op de informatiebeveiliging van Suwinet toe, maar ook in bredere zin over de Meldplicht Datalekken. De vragen zijn door de Security Officer is samenwerking met de CISO schriftelijk op 18 februari beantwoord. Aandachtspunten voor 2016 In de jaarrapportage Suwinet over 2015 hebben wij aangegeven welke aandachtspunten wij voor 2016 zagen. Wij wilden aantoonbaar kunnen laten zien dat wij aan alle 7 normen voldoen. Daarom wilden wij in 2016 halverwege het jaar een interne audit laten uitvoeren om te laten onderzoeken of wij daadwerkelijk nu aan de 7 normen voldoen. Team PCA heeft deze audit in juli uitgevoerd en in augustus is hierover een onderzoeksrapportage opgesteld. Hieruit is gebleken dat wij aan de 7 normen voldoen. Ook is een aantal aanbevelingen meegegeven waar de projectgroep mee aan de slag is gegaan. Planning 2017 In bijlage 1 een overzicht opgenomen met alle acties die in 2017 door de projectgroep Suwinet opgepakt gaan worden.
Terugblik 2016 BKWI-rapportages en onderzoeken Maandelijkse komt onze projectgroep Suwinet bijeen om de BKWI-rapportage van de voorgaande maand te bespreken en te analyseren. Dit doen we aan de hand van door onszelf vastgestelde normen. Komen we boven die normen, dan zullen we extra onderzoek doen. Dit geldt ook voor zaken die opvallen in de BKWI-rapportages. Opvallende zaken kunnen ook leiden tot nader onderzoek. Nadere rapportages In 2016 hebben we verschillende nadere rapportages opgevraagd. Bij BKWI is geregistreerd dat Peter Groot degene is die deze rapportages opvraagt. In een aantal gevallen is een gesprek gevoerd met een aantal medewerkers niet zozeer omdat sprake was van mogelijk misbruik, maar wel in het kader van bewustwording waarbij het voor een aantal medewerkers onbekend was dat iedere switch tussen pagina s op Suwinet apart wordt gelogd. In een aantal andere gevallen bleek dat geen nadere actie nodig was naar aanleiding van een opgevraagde nadere rapportage, bijvoorbeeld omdat de uitkomst van een nadere rapportage bevestigde wat de projectgroep al dacht (bijv. 1 medewerker van sociale recherche die veel bsn-nummers raadpleegt). Onderzoek naar bronbestanden Er zijn afspraken gemaakt met de sociale recherche, omdat zij voor een aantal andere gemeenten werkzaamheden uitvoeren. Zij mogen voor die andere gemeenten niet de login van Deventer gebruiken, maar moeten een eigen account krijgen van de gemeente waarvoor zij specifieke werkzaamheden verrichten. Ook is het Suwinet-account voor de medewerkers RMC beëindigd, omdat dit regionaal (stedendriehoek) opgepakt en uitgevoerd dient te worden. Pitches aan medewerkers In januari, mei en december zijn voorlichtingsbijeenkomsten gehouden bij medewerkers van de uitvoering (teams Inkomensondersteuning, Deventer Werktalent en Publiekszaken zorg). Hierin zijn de medewerkers geïnformeerd over de informatiebeveiliging van Suwinet. Hiermee is ook een stuk bewustwording gecreëerd; mensen zijn beter op de hoogte wat ze wel/niet mogen raadplegen en weten dat alle handelingen gelogd worden. Interne audit In juli 2016 heeft een intern onderzoek plaatsgevonden dat uitgevoerd is door team PCA (rapportage is opgemaakt in augustus van dat jaar). In het onderzoek is de informatiebeveiliging van Suwinet van de gemeente Deventer onderzocht. Bekeken is of de gemeente voldoet aan de 7 gestelde normen rondom informatiebeveiliging van Suwinet. De uitkomst is dat de gemeente hieraan voldoet. Wel is nog een aantal aanbevelingen meegegeven: Heb aandacht voor het feit dat er een verhoogd risico is dat iemand over de schouder: mee kan kijken door het tijd- en plaatsonafhankelijk werken. Breng de autorisatiematrix en de matrix met gebruikers-rollen-bronnen met elkaar in overeenstemming. Voer steekproefsgewijs interne controle uit. Deze aanbevelingen zijn deels in 2016 al opgepakt (eerste twee bullits) en in 2017 wordt een eerste interne controle uitgevoerd. Servicegesprekken De Security Officer heeft in 2016 een drietal gesprekken gevoerd met de teammanagers van Inkomensondersteuning, Publiekszaken en Deventer Werktalent. Bij deze drie onderdelen wordt gebruik gemaakt van Suwinet-inkijk. Het gesprek was bedoeld om te horen wat de ervaringen met Suwinet zijn, in kaart te brengen of er zaken zijn waar tegenaan gelopen wordt en om de behoefte te peilen of meer voorlichtingsmomenten nodig zijn. De uitkomst van de gesprekken is besproken in de projectgroep en dit leidde niet tot andere maatregelen die tot dan toe al werden of zouden worden ingezet. Functiematrix De functiematrix is in 2016 herzien en vastgesteld in de projectgroepvergadering van 8 december. De rollen en verstrekte autorisaties zijn waar nodig met elkaar in overeenstemming gebracht en bijgesteld.
Beveiligingsplan Het beveiligingsplan Suwinet is in 2016 herzien en vastgesteld in de projectgroepvergadering van 30 augustus. IDU Maandelijks wordt de in-uit-en-doorstroomlijst opgesteld en afgetekend door de verantwoordelijk teammanager. Op die manier wordt bijgehouden of er nieuwe autorisaties moeten worden toegekend aan nieuwe medewerkers, of dat verstrekte autorisatie bijgesteld moeten worden als gevolg van het doorstromen van een medewerker naar een andere functie of dat bepaalde autorisaties moeten worden beëindigd in verband met het vertrek van een medewerker. Op deze manier houden we grip op het aantal geblokkeerde accounts en zorgen we ervoor dat een medewerker niet langer in Suwinet kan als hij dit ook niet meer voor de uitoefening van zijn werkzaamheden nodig heeft. Daarmee wordt vermeend misbruik voorkomen. Geheimhoudingsverklaringen Iedere nieuwe medewerker (ingehuurd of in dienst van de gemeente) die een autorisatie krijgt om persoonsgegevens te raadplegen in Suwinet, krijgt bij de start in de nieuwe functie uitleg over het gebruik van Suwinet en de informatiebeveiliging daaromtrent. Daartoe wordt een geheimhoudingsverklaring ondertekend en legt het projectgroeplid - dat vanuit de uitvoering aan het projectgroepoverleg Suwinet is afgevaardigd aan de nieuwe medewerker uit wat de spelregels zijn. De spelregels worden tevens op schrift overhandigd aan de nieuwe medewerker. Website In het kader van bewustwording is een interne webpagina via intranet gemaakt om medewerkers op de hoogte te brengen en te houden aangaande de informatiebeveiliging van Suwinet. Hierop staat bijvoorbeeld het beleidsplan en de spelregels waaraan medewerkers zich dienen te houden. Verder worden op een afgeschermde intranetpagina alle stukken van de projectgroep Suwinet geplaatst zoals agenda s, notulen, de IDU-lijsten en geheimhoudingsverklaringen. Logboek Er is een logboek ontwikkeld dat inzicht moet bieden aan de mogelijke incidenten die zich in de organisatie voordoen. In 2016 hebben zich geen incidenten voorgedaan, waardoor het logboek nog niet gevuld is. Deelname aan regionale bijeenkomst In 2016 zijn 8 regiobijeenkomsten veilig Suwinet georganiseerd door BKWI en VNG. Onderwerpen waren: Programma Borging Veilige gegevensuitwisseling Suwinet, Escalatieprotocol, Inspectieonderzoek 2015/2016, Release-informatie Suwinet. Er is ook een afvaardiging vanuit Deventer naar één van de bijeenkomsten geweest. Ontwikkelingen en aandachtspunten in 2017 Whitelist De gemeente Deventer gaat in 2017 werken met een zogenaamde whitelist. Een whitelist is een lijst die de BSN s bevat van alleen die burgers waar de gemeente/organisatie een dienstverleningsrelatie mee heeft of mee heeft gehad. Is die relatie er niet (geweest), dan krijgt de medewerker in principe geen toegang tot de gegevens van die burger. Als de raadpleging toch nodig is i.v.m. de uitvoering van wettelijke taken, dan kan de (geautoriseerde) medewerker het filter passeren door middel van een zogenaamde escapefunctie. De inzet van dit filtermechanisme bevordert een veilig en proportioneel gegevensgebruik door medewerkers en draagt bij aan het beschermen van de privacy van burgers. Beleid telewerken Er zal in 2017 beleid ontwikkeld worden hoe wij willen omgaan met telewerken (plaats- en tijdonafhankelijk werken) in relatie tot Suwinet. Hier zit namelijk een risico qua informatiebeveiliging in vanwege gebruik maken van een mogelijk onbeveiligd netwerk of dat derden inzake kunnen hebben in persoonsgegevens van burgers.
Uitbreiding spelregels De spelregels die nu intern gebruikt worden om nieuwe collega s voor te lichten op het gebruik van Suwinet worden uitgebreid met het (P&O-)spoor dat ingezet wordt bij geconstateerd misbruik. Interne controle In 2017 zal een interne controle gehouden worden op één van de processen die binnen de informatiebeveiliging van Suwinet van toepassing is. De projectgroep zal bepalen welk proces onder de loep genomen gaat worden en zal de controle in principe zelf uitvoeren en controleren of hetgeen we als proces op papier hebben staan, ook daadwerkelijk in de praktijk zo wordt uitgevoerd. Logboek/meldingen Voor 2017 wil de projectgroep meer aandacht geven aan het actief opsporen en laten melden van mogelijke incidenten. Breder normenkader Met ingang van 2017 geldt een breder normenkader van 26 normen waaraan de informatiebeveiliging van Suwinet moet voldoen. De projectgroep gaat zich verdiepen in deze normen en brengt de informatiebeveiliging op het gewenste beveiligngsniveau.
Bijlage 1: overzicht op gerealiseerde acties in 2016 De volgende taken zijn onder verantwoordelijkheid van de SO Suwinet in 2016 opgepakt: Wat? Wanneer? Wie? Gedaan? Inplannen periodiek overleg Maandelijks Yvonne Ja werkgroep Ontwikkelen van beveiligingsprocedures, bijv. technische informatiebeveiliging Tweede kwartaal gereed CISO (of inhuur)., Yvonne zet uit. opgesteld Aanpassen Beveiligingsplan en bijbehorende procedures obv organisatiewijzigingen (verhuizing!) en wets- en beleidswijzigingen. Structureel beleggen protocol IDU en aanpassen Beveiligingsplan. Vormgeven van de website met informatie over Suwinet. Servicegesprek TM van de betreffende teams (IO, Publiekszaken, DWT) inzake beveiligingsonderwerpen mbt gebruik Suwinet Controle op hebben van voldoende kennis bij medewerkers en evt. bijspijkeren nav servicegesprek TM Geven van presentaties inzake bewustwording bij div. team(onderdelen) Introductie spelregels gebruik Suwinet aan nieuwe medewerkers Verzorgen van rapportage over de verleende autorisaties aan de betreffende leidinggevenden Maandelijks BKWI-rapportage opvragen mbt uitvoering en naleving van beveiligingsprocedures binnen Suwinet en agenderen voor maandelijkse werkgroepoverleg waarin analyse van de rapportage plaatsvindt. Opvragen van logging-gegevens over gebruik Suwinet bij BKWI en analyseren op mogelijk misbruik. Treffen van maatregelen bij signalen van vermeend misbruik/oneigenlijk gebruik van Suwinet Tweede kwartaal gereed Zodra systeem P&O geïmplementeerd is Yvonne ism Eric; afspraak plannen SO ism CISO en Michel Zuiderhoek Tweede kwartaal Peter G. gereed. 1x per jaar Yvonne ism Eric ; afspraak plannen in juni. 1x per jaar Derde kwartaal gereed Yvonne ism Peter; na de zomer aanschuiven bij teamoverleg. Peter Doorlopend Peter G. Ja Maandelijks volgens protocol worden de IDU-lijsten opgesteld en afgetekend Maandelijks als maandelijkse BKWI-rapportage daar aanleiding toe geeft en als we van de norm wijzigen. Daarnaast jaarlijks (mei 2016) koppeling BSN met brongegevens. Doorlopend en als nadere rapportages daartoe aanleiding geven Peter G. en Peter T. Peter T en werkgroep specifieke rapportages vraagt Peter G op Yvonne en Eric ism werkgroep en TM ers Ja, CISO heeft DOWR-i breed beleidskader Ja, is vastgesteld op 30 augustus 2016. Ja, afgesproken om huidige systeem te hanteren. Nieuwe P&Otool is niet handig. Ja, sharepointsite is ontwikkeld en gevuld. Ja gesprekken hebben plaatsgevonden. Verslagen zijn gemaakt en besproken met werkgroep. Ja, tijdens servicegesprekken dit jaar geen behoefte aan bijspijkeren. Noodzaak ook niet aangetoond dmv IDU-lijst en rapportages en calamiteiten. Ja, voorlichtingsbijeenkomsten hebben plaatsgevonden in mei en december. Ja, maandelijks zijn de IDU lijsten opgesteld en afgetekend. Ja zijn opgevraagd en besproken in werkgroep. Ja zijn opgevraagd en besproken in werkgroep. Ja, collega s zijn gesproken nav specifieke rapportages. Maar beleid moet nog worden opgesteld (In spelregels is opgenomen dat P&Ospoor wordt ingezet bij vermeend misbruik. Er
Up-to-date houden van de BKWIfunctiematrix (rollen versus autorisatie) Controle op juiste rol bij juiste persoon Controle op mogelijke onverenigbaarheid rollen aan een persoon nav afgelopen 3 maanden IDU-lijsten Controle op al dan niet behalen van 7 normen die Inspectie stelt aan informatiebeveiliging Toetsen van gemelde incidenten binnen Suwinet en treffen van maatregelen. Gevraagd en ongevraagd adviseren van organisatie als verbeteringen doorgevoerd moeten worden (technisch/organisatorisch/fysiek) Rapporteren aan CISO en Directie/College inzake svz informatiebeveiliging Suwinet 1x per jaar (3 e kwartaal) Maandelijks volgens protocol worden de IDU-lijsten opgesteld en afgetekend 1x per jaar juni Doorlopend via incidentenlogboek Doorlopend en wordt vast agendapunt werkgroepoverleg Eind van het jaar Peter G. ism Peter T Peter G ism Rene Peter G ism Peter T Gerrit Hup (Yvonne gaat contact zoeken voor definitief maken audit) Werkgroep en CISO. Agenderen voor het volgende overleg. Yvonne Yvonne ism werkgroep moet verder uitgewerkt worden). Yvonne nodigt iemand van P&O uit om mee te denken. Ja, is vastgesteld op 8 december. Ja, de IDU lijsten zijn maandelijks opgesteld en afgetekend. Ja heeft met de functiematrix te maken. Vooral bij administratie bleek dat zij een te brede autorisatie hadden. Is aangepast. Ja, onderzoek heeft plaatsgevonden. Er is een logboek, maar incidenten hebben zich niet voor gedaan. Wordt straks ook anders met de komst van de whitelist. Focus op gebruik escape. Ja mbt thuiswerken en what sapp. Volgt in februari 2017
Bijlage 2: overzicht op te pakken acties in 2017 De volgende taken gaan onder verantwoordelijkheid van de SO Suwinet in 2017 opgepakt worden: Wat? Wanneer? Wie? Inplannen periodiek overleg werkgroep Maandelijks Yvonne Afstemming met CISO mbt Periodiek Yvonne met CISO organisatorische beveiligingsaspecten Aanpassen Beveiligingsplan en Tweede kwartaal gereed (1 Yvonne ism Eric; afspraak plannen bijbehorende procedures obv organisatiewijzigingen (verhuizing!) en wets- en beleidswijzigingen. keer per jaar) Maandelijks opvragen IDU-lijst maandelijks Peter Groot Beheren de website met informatie Doorlopend Peter G. over Suwinet. Servicegesprek TM van de betreffende teams (IO, Publiekszaken Zorg, DWT) inzake beveiligingsonderwerpen mbt gebruik Suwinet Controle op hebben van voldoende kennis bij medewerkers en evt. bijspijkeren nav servicegesprek TM Geven van presentaties inzake bewustwording bij div. team(onderdelen) Introductie spelregels gebruik Suwinet aan nieuwe medewerkers Verzorgen van rapportage over de verleende autorisaties aan de betreffende leidinggevenden Maandelijks BKWI-rapportage opvragen mbt uitvoering en naleving van beveiligingsprocedures binnen Suwinet en agenderen voor maandelijkse werkgroepoverleg waarin analyse van de rapportage plaatsvindt. Opvragen van logging-gegevens over gebruik Suwinet bij BKWI en analyseren op mogelijk misbruik. Sluitende controle tbv proces IDU en proces melden incidenten. 1x per jaar (2 de kwartaal) 1x per jaar Yvonne ism Eric ; afspraak plannen in juni. Projectgroep (ook ivm opsporen meldingen tbv logboek) Derde kwartaal gereed Peter houdt voorlichtingsbijeenkomsten/pitches (quiz houden?) Doorlopend Peter G. Maandelijks volgens protocol worden de IDU-lijsten opgesteld en afgetekend 1x per maand als maandelijkse BKWIrapportage daar aanleiding toe geeft en als we van de norm wijzigen. Daarnaast jaarlijks koppeling BSN met brongegevens. 2 keer per jaar (2 de kwartaal en 4 e kwartaal) Peter G. en Peter T. Peter T en werkgroep Peter G ism projectgroep Yvonne ism werkgroep en PCA Treffen van maatregelen bij signalen van vermeend misbruik/oneigenlijk gebruik van Suwinet + beleid opnemen in spelregels Up-to-date houden van de BKWIfunctiematrix (rollen versus autorisatie) Toetsen van gemelde incidenten binnen Suwinet en treffen van maatregelen. Gevraagd en ongevraagd adviseren van organisatie als verbeteringen doorgevoerd moeten worden (technisch/organisatorisch/fysiek) en doorleiden naar CISO Rapporteren aan CISO en Directie/College inzake svz informatiebeveiliging Suwinet Doorlopend en als nadere rapportages daartoe aanleiding geven 1x per jaar (3 e kwartaal) Doorlopend via incidentenlogboek Doorlopend en wordt vast agendapunt werkgroepoverleg Eind van het jaar Yvonne en Eric ism werkgroep en TM ers. Focus komt in 2017 te liggen op gebruik escapefunctie ivm komst whitelist. Peter G. ism Peter T Yvonne ism werkgroep Yvonne Yvonne ism werkgroep