De Gemeenteraad Afdeling : SLB Behandeld door : J.J. Jager Telefoonnummer : 14 0511 E-mail : Uw kenmerk Uw brief/mail van Burgerservicenr Ons kenmerk Bijlage 2 Onderwerp Beveiliging Suwinet door gemeenten (brief van Ministerie van SZW d.d. 18 juli jl.) Buitenpost, Geachte leden van de gemeenteraad, Als reactie op bovenstaande brief, waarin het Ministerie van Sociale Zaken en Werkgelegenheid, bij monde van staatssecretaris Jetta Klijnsma, zorg uitspreekt over de resultaten van een onderzoek naar de gemeentelijke beveiliging van het (digitale) Suwinet, willen wij u informeren over de maatregelen die wij intern hebben genomen om oneigenlijk gebruik, danwel misbruik van de systemen te voorkomen. Op iedereen die in onze organisatie werkzaam is, is het binnen de gemeente Achtkarspelen geldende Algemene informatie beveiligingsbeleid en de bijbehorende richtlijnen, instructies en protocollen van toepassing. Deze regelgeving is indertijd (2008) met de accountant afgestemd en door het MT vastgesteld. In het kader van de samenwerking met de gemeente Tytsjerksteradiel wordt binnen afzienbare tijd begonnen met een afstemming op dit gebied. Door middel van de zogenaamde 10 gouden regels (zie bijlage), die een afgeleide zijn van het gemeentelijk beveiligingsbeleid, wordt iedere medewerker hier bij indiensttreding nog eens nadrukkelijk op gewezen. Medewerkers van Werk en Inkomen, die op basis van het uitoefenen van hun functie gebruik moeten maken van het Suwinet krijgen daarvoor bepaalde autorisaties. De functie bepaalt welke autorisaties worden toegekend. Met betrekking hiertoe zijn bepaalde gebruikersgroepen en gebruikersrollen
- 2 - aangewezen. In het protocol m.b.t. het gebruik van gegevens van Suwinet (zie bijlage) staat aangegeven wie hierover beslist. Tenslotte wordt van elke desbetreffende medewerker gevraagd het protocol te ondertekenen, waarmee hij/zij verklaart zich aan de gestelde regels te zullen houden en op de hoogte te zijn van het feit dat de Intern Controleur regulier onderzoek doet naar de koppeling van Burger Service Nummers (BSN) met werkprocessen en dat passende maatregelen worden genomen bij het schenden van deze regels. De gemeente Achtkarspelen heeft overigens aan het begin van 2014 deelgenomen aan de zelftest beveiliging van het Ministerie van Sociale Zaken en Werkgelegenheid. Dit onderzoek toonde aan dat de beveiliging in onze gemeente goed op orde was en dat er slechts aanleiding bestond voor het geven van een enkele aanbeveling. Inmiddels is dit in het beveiligingsbeleid verwerkt. Hoogachtend, het college van burgemeester en wethouders van Achtkarspelen, secretaris, burgemeester, mr. drs. E.H.C. van der Laan G. Gerbrandy
PROTOCOL m.b.t. het gebruik van gegevens van Suwinet Ter ondersteuning van de uitvoering van de regelingen die de afdeling Werk en Inkomen uitvoert, is de gemeente Achtkarspelen via het Gemnet aangesloten op het besloten Suwi-netwerk. Hiermee is het mogelijk om gegevens uit te wisselen met bijv. de belastingdienst, IBG, UWV, UWV Werkbedrijf, gemeenten en het centrale WWIK-bestand. In de toekomst worden nog andere bronnen toegevoegd. Op de gegevens van Suwinet zijn de bepalingen van de Wet bescherming persoonsgegevens en van de Wet Suwi van toepassing. Hierdoor zijn aan het gebruik van de applicatie Suwinet-Inkijk en aan overige webapplicaties die Suwi-gegevens inlezen regels te verbinden. Voor de gemeente Achtkarspelen luiden die regels als volgt. 1. Het hoofd van de afdeling wijst de systeem-/applicatiebeheerder aan als gegevensbeheerder voor het gebruik van Suwinet-Inkijk. De systeem- /applicatiebeheerder bepaalt in overleg met de teamleider tot welke gebruikersrol gebruikersgroepen worden geautoriseerd om gegevens uit dit systeem te raadplegen. 2. Elke medewerker die geautoriseerd wordt voor het raadplegen van gegevens via Suwinet-Inkijk, wordt gerechtigd en beperkt tot het inwinnen van die informatie die nodig is om de opgedragen taken te verrichten. Voor deze taken zijn in overleg met de registratiehouders autorisatierollen vastgesteld, te weten: Voor de afdeling Werk en Inkomen: G-rollen (voor de wettelijke taken beschreven in de wet Suwi en de WWB) Voor inburgering: SC-rollen voor de wettelijke inburgeringstaken Voor de gemeentelijke belastingdeurwaarders: GB-rolllen 3. De geautoriseerde medewerker heeft toegang tot Suwinet-Inkijk door middel van een toegangscode. Het gebruik van het account en wachtwoord is strikt persoonlijk. 4. Het gebruik van Suwinet-Inkijk (elke muisklik) wordt vastgelegd. 5. Er is vastgesteld dat in het kader van interne controle regulier door de security officer gecontroleerd wordt of het raadplegen (en ander gebruik) van de gegevens verenigbaar is met de doeleinden waarvoor zij zijn verstrekt. Controle vindt plaats met behulp van een audit log systeem. In het kader van deze controle kan de security officer specifieke rapportages opvragen over het raadplegen van Suwinet. 6. Bij vermoeden van onrechtmatig gebruik of misbruik van de Suwi-gegevens vindt een onderzoek plaats. Bij vaststelling van onrechtmatig handelen of van misbruik zullen passende maatregelen worden getroffen. Gemeente Achtkarspelen, 10 juli 2012.
Zorgvuldigheidsverklaring medewerkers Ondergetekende, Naam: -------------------------------------------- Functie: -------------------------------------------- Team: -------------------------------------------- belooft/verklaart dat hij/zij: # er van op de hoogte is dat privacy wet- en regelgeving beoogt een zorgvuldige omgang met persoonsgegevens te beschermen en dat deze wet- en regelgeving het gebruik van persoonsgegevens in de ruimste zin van het woord verbindt aan regels. # zorgvuldig zal omgaan met de (persoons)gegevens en de inhoud van de documenten die hij/zij bij de uitvoering van de werkzaamheden in Suw-verband mag inzien en zich daarbij houdt aan de werkinstructies zoals opgenomen in de functionele beschrijvingen van Suwinet-Inkijk en Suwinet-Mail. Concreet betekent dit onder meer dat hij/zij: - niet meer of vaker (persoons)gegevens raadpleegt dan strikt noodzakelijk is; - een eigen registratie bijhoudt van personen die niet voorkomen in een werkproces of module fraude en doel van opvraging; - (persoons)gegevens niet aan onbevoegden verstrekt; - het Suwi-account (en wachtwoord) zorgvuldig hanteert en niet aan anderen ter beschikking stelt. # kennis heeft genomen van de regels die gelden voor het zorgvuldig omgaan met persoonsgegevens. # kennis heeft genomen van de 10 gouden regels beveiliging en het beveiligingsplan Suwinet. # gedurende de duur van zijn/haar inzet voor werkzaamheden in Suwi-verband enkel die (persoons)gegevens gebruikt, die van belang zijn voor het nastreven van het doel van Suwi. # alle medewerking zal geven aan het naleven van de privacywet- en regelgeving door de afdeling Werk en Inkomen waar hij/zij werkzaam is. # gedurende de duur van zijn/haar inzet voor de werkzaamheden in Suwi-verband en ook na beëindiging van deze werkzaamheden, [tegenover derden] geheimhouding zal betrachten met betrekking tot alle (persoons)gegevens waarvan hij/zij bij de uitvoering van deze werkzaamheden kennis neemt. # bekend is met het gegeven dat in het kader van interne controle alle BSN's die zijn geraadpleegd via Suwinet-Inkijk opgevraagd worden en dat deze worden gekoppeld aan de werkprocessen of de module fraude. # Bekend is met het gegeven dat bij het vermoeden van onrechtmatig gebruik of misbruik een intern onderzoek wordt gestart en dan bij vaststelling passende maatregelen kunnen worden opgelegd. Datum, 10 juli 2012. Handtekening medewerker:
Tien gouden regels m.b.t. informatiebeveiliging De tien gouden regels voor het gebruik van informatie, informatiesystemen en netwerken. Wij vragen even om jouw aandacht! Afhankelijk van jouw functie heb jij toegang tot diverse informatiesystemen binnen de Gemeente Achtkarspelen. Wij willen je erop attenderen dat het gebruik van deze systemen verbonden is aan een aantal verplichtingen. Met deze tien gouden regels vatten wij de belangrijkste hiervan samen. Wij verzoeken je deze goed door te lezen omdat zij deel uitmaken van je functie binnen de Gemeente Achtkarspelen. 1 Kennisnemen van het informatie beveiligingsbeleid Het binnen de Gemeente Achtkarspelen geldende informatie beveiligingsbeleid en de bijbehorende richtlijnen, instructies en protocollen zijn op iedereen in onze organisatie van toepassing. Vraag je leidinggevende voor meer informatie hierover en raadpleeg op intranet van de Gemeente Achtkarspelen. 2 Gedragscode In de gedragscode zijn regels neergelegd die aangeven hoe medewerkers van de Gemeente Achtkarspelen behoren om te gaan met de zakelijke ter beschikking gestelde informatie en hulpmiddelen. Tevens bevat de code regels voor de manier waarop interne controle kan plaatsvinden. Deze gedragscode is op het intranet te vinden. In de gedragscode zijn onder andere de volgende regels opgenomen aangaande het e-mailverkeer: E-mailverkeer geldt inmiddels als algemeen geaccepteerde correspondentie, gelijk aan brieven. E-mailberichten kunnen, mits de betrouwbaarheid van het e- mailadres voldoende is aangetoond, gelden als bewijsstuk. Een e-mailbericht is als het ware schriftelijke correspondentie, al dan niet voorzien van een handtekening, dat door middel van een elektronisch medium wordt verstuurd. Bovenstaande alinea is enkel van toepassing voor e-mailverkeer tussen onze dienst en instanties! E-mailberichten die klanten versturen aan hun contactpersoon binnen de Gemeente Achtkarspelen worden niet gezien als bewijsstuk. E-mail verkeer tussen medewerkers van de Gemeente Achtkarspelen en haar klanten wordt ten zeerste afgeraden om deze correspondentie niet centraal wordt geregistreerd. 3 Wachtwoorden zijn strikt persoonlijk Je wachtwoorden zijn strikt persoonlijk en dienen uitsluitend door jou gebruikt te worden om toegang te krijgen tot de betreffende systemen. Geef je wachtwoord dus niet aan derden, of aan een collega of je manager, en bewaar ze op een veilige plek, dus niet in je agenda of op een geel briefje! 4 Geheimhoudingsplicht Binnen de Gemeente Achtkarspelen wordt veel met persoonsgegevens gewerkt. Voor het werken en de omgang met persoonsgegevens zijn vanuit de overheid regels gesteld, verwoord in de Wet bescherming persoonsgegevens (WBP), de Wet Suwi en de WWB. In de CAO zijn daarom geheimhoudingsbepalingen opgenomen die inhouden dat je persoonsgegevens niet verder bekend mag maken dan voor de uitoefening van je functie noodzakelijk is. Dit betreft persoonsgegevens die jou uit hoofde van je functie bekend worden en ook overige informatie waarvan je weet of redelijkerwijze kunt vermoeden dat deze een vertrouwelijk karakter hebben.
5 Gegevensverstrekking aan derden via de telefoon Het uitgangspunt is dat niet aan verzoeken om telefonische informatie over betrokkenen wordt tegemoetgekomen. Dat betekent dat ook geen telefonische informatie over klanten wordt verstrekt aan personen of instanties die beweren namens de betrokkene te bellen. Vragen moeten schriftelijk bij de Gemeente Achtkarspelen, bij de afdeling Werk en Inkomen de Wâlden, worden ingediend. In uitzonderlijke gevallen kan informatie verstrekt worden aan derden, mits de identiteit van deze derde voldoende is vastgesteld (bijv. door middel van terugbellen via een centraal telefoonnummer)en een schriftelijk verzoek tot informatie niet mogelijk is. 6 Clear desk / clear screen policy De vertrouwelijke omgang met persoonsgegevens houdt o.a. in dat elke werkplek zodanig is ingericht, dat onbevoegde niet in jou afwezigheid aan deze gegevens kunnen komen. Dat betekent dat jij je werkstation bewust dient te vergrendelen met behulp van de screensaver wanneer jij je werkplek verlaat en dat je geen vertrouwelijke gegevens, zoals dossiers of verslagen, niet onbeheerd op je bureau of in een niet afsluitbare kast achterlaat. 7 Geen vertrouwelijke informatie in de prullenbak De correcte omgang met vertrouwelijke gegevens waaronder persoonsgegevens is erg belangrijk binnen de Gemeente Achtkarspelen. Ook het vernietigen van deze gegevens moet op een veilige manier plaats vinden. Daarom zijn er speciaal gekenmerkte papiercontainers binnen de Gemeente Achtkarspelen aanwezig. Maak gebruik van deze speciale papiercontainers en stop vertrouwelijke gegevens nooit in de prullenbak. 8 Aanspreken van onbekende personen Ben je al een keer in de situatie geweest, dat je iemand binnen het gebouw tegenkwam, waar officieel geen publiek zonder begeleiding mag komen en je niet wist wie deze persoon was en wat hij/zij daar te doen had? Spreek deze persoon aan, stel jezelf voor en vraag wat hij of zij hier komt doen. Hiermee worden personen die niet bevoegd zijn om zich op deze plek te bevinden op deze overtreding gewezen, terwijl gasten en nieuw of ingehuurd personeel het doorgaans op prijs stellen om aangesproken te worden en op deze manier contacten te kunnen leggen. Wijs niet bevoegden beleeft, maar duidelijk, de weg naar het publieke gedeelte van het gebouw en belangrijk begeleidt ze daar naar toe. 9 Melden van beveiligingsincidenten Binnen de Gemeente Achtkarspelen is een collega belast met het uitvoeren van activiteiten rond het thema informatiebeveiliging. Het is belangrijk om dit te weten en deze persoon zo snel als mogelijk op de hoogte te brengen als er beveiligingsincidenten zijn. Voorbeelden voor incidenten zijn een virusmelding op het systeem, waarmee je op dat moment werkt, een inbraak of een poging tot inbraak, of een deur die op slot had moeten zijn, maar niet op slot is. 10 Haast, stress, werkdrukte vs. informatiebeveiliging Informatiebeveiliging krijg je niet gratis het kost je energie en werkt vaak tegen je als je haast hebt en de werkdrukte hoog is. Echter, informatiebeveiliging is uitermate belangrijk voor je werk binnen de Gemeente Achtkarspelen en hoort bij een professionele en bekwame uitvoering van het werk. Neem informatiebeveiliging daarom serieus je klanten vertrouwen erop.
Gemeente Achtkarspelen lngekomen d.d 2 q JULI 20ltr MinisterÍevan Sociale Zaken en Werkgelegenheid Afd No. > Retouradres Postbus 90801 2509 LV Den De leden van de gemeenteraad van (gemeente) T.a.v. de griffier (adresgegevens),tltnil,,ll,,ll,lltlt,l,tll,tll,l l,,ll,,ll Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat 4 T O70 333 44 44 F 070 333 40 33 www,rljksoverheid.nl Contactpersoon mw. mr. A. van Splunter f 06 1L79 74 22 AvSplunter@mlnszw,nl Datum n I JUL 20t+ Betreft Beveiliging Suwinet door gemeenten Onze ref r nt 2014-0000079794 BUlagên Brlef aan college van burgemeester en wethouders Gemeenten die de zelftest hebben u tgevoerd Geacht raadslid, In deze brief vraag ik uw aandacht voor het gebruik van Suwinet door gemeenten. Deze brief is een vervolg van mijn brief van 19 december 2013 aan alle Colleges van Burgemeester en Wethouders en gemeenteraden. Uit onderzoek van de Inspectie SZW'de burger bediend in 2013'blijkt dat de informatiebeveiliging van Suwinet door gemeenten niet op orde is. Slechts 4olo van de gemeenten heeft bij het gebruik van Suwinet voldoende maatregelen getroffen om de vertrouwelijkheid van de uitgewisselde gegevens te waarborgen. Een duidelijk signaal is dat de inspectie tijdens het onderzoek geconstateerd heeft dat 18olo van de onderzochte gemeenten gegevens van bekende Nederlanders hebben geraadpleegd. Op vragen van de inspectie waarom dit is gebeurd, hadden deze gemeenten geen plausibele verklaring. Mede in het licht van de decentralisaties en de daarmee samenhangende verdere toename van het aantal gegevensuitwísselingen is het noodzakelijk om de gemeentelijke informatiebeveiliging op het vereiste niveau te brengen. Gezien het grote maatschappelijke belang van het zorgvuldig omgaan met gegevens van burgers, herhaal ik met deze brief mijn oproep aan u om het College van Burgemeester en Wethouders te vragen om inzicht te bieden in de stand van zaken en, indien van toepassing, stappen te zetten om de beveiliging van Suwinet op orde te brengen. De VNG en Raadslid.Nu zullen u hierbij ondersteunen. Tevens wil ik u vragen om er op toe te zien dat het College door middel van een jaarlijkse verantwoording aan uw raad transparantie biedt over de invulling van de eisen die worden gesteld aan informatieveiligheid, waaronder de beveiliging en bescherming van persoonsgegevens die via Suwinet worden verstrekt. In het bijzonder wil ik u wijzen op de bijlage bij deze brief. In de bijlage is een lijst opgenomen van gemeenten die begin dit jaar de zelftest beveiliging Suwinet Pagina 1 van 4
hebben uitgevoerd. Met de zelftest, ontwikkeld door de VNG, kunnen gemeenten de lokale stand van zaken en eventuele verbeterpunten in kaart brengen. Ik wens u veel succes bij uw controlerende taak met betrekking tot de informatiebeveiliging. Het gaat tenslotte om de zorgvuldige behandeling van de gegevens van inwoners van uw gemeente. Ik hecht eraan dat burgers met een gerust hart hun gegevens aan de gemeente kunnen verstrekken. oatum [f 0 JUL l. OnrG r fcrcntle 2014-0000079794 Met vriendelijke groet, de Staatssecretaris van Sociale Zaken en heid, Klijnsma Pagina 2 van 4
Bijlage 1 Aa en Hunze Aalsmeer Aalten Achtkarspelen Albrandswaard Alkmaar Almelo Almere Alphen aan den Rijn Amersfoort Amstelveen Amsterdam Apeldoorn Appingedam Assen Baarle-Nassau Baarn Barendrecht Barneveld Beemster Beesel Bellingwedde Eergeijk Bergen {L) Bergen op Zoom Sergen-nh Bernheze Best Beverwijk Binnenmaas Bladel Bloemendaal Boekel BorseIe Boxtel Breda Brummen Brunssum $unschoten Euren Bussum Capelle aan den IJssel Castricum Coevorden Crornstrijen Cuijk Dalfsen Dantum diel De Ronde Venen GEmeenten die de zelftest hebben uitgevoerd Þe Wolden Helmond Delft Hengelo Þelfzijl Het Bildt Diemen Heumen Dinkelland Heusde n Doesburg Hillegom Doetinchem Dongeradeel Dronten Duiven Hoorn Echt-Susteren Houten Ëdam-Volendam Hulst Eemsmond Eersel Kampen Ëijsden-Margrðten Kapelle Ëlburg Katwijk Enschede Kerkrade Ermelo Etten-Leur Ferweradiel Korendijk Franekeradeel Landerd Geertruidenberg Geldrop-Mierlo Leek Gennep Leerdam Giessenlanden Gilze en Rijen Leiden Goeree-Overflakkee Lelystad Goirle Leudal Gorinchem Leusden Groesbeek Lingewaal Groningen Gulpen-Wittem Lisse Haaksbergen Haaren Lochem Haarlem Lopik Hollands Kroon Hoûgeveen Hoogezand-Sappemeer llsselstein Koggenland Kollumerland c.a. Landgraaf Leeuwarderadiel Lingewaard Littenseradiel Haarlem merliede & SpaarnworLdppersum Haarlemmermeer Losser Halderberge Maasdriel Hardenberg Maasgouw Harderwijk Maassluis Hardinxveld-Giessendam Maastricht Harlingen Marum Hattem Medemblik Heemskerk Meerssen Heemstede Menameradiel Heerde Menterwolde Heerenveen Meppel Heerhugawaard Middelburg Midden-Delfland Heiloo Þâtum J$JULX$ir On:e referentie 2û14-û000079794 Põçinð 3 van 4
Midden-ûrenthe Millingen aan de Rijn Molenwaard Montferland Muiden Naarden Nederweert Nieuwegein Nijkerk Nijmegen Noordenveld Noordoostpolder Noordwijk Noordwijkerhout Nuenen Nunspeet Oegstgeest Oirschot CIldambt Oldebroek tldenzaal Olst-Wijhe Ommen Onderbanken tosterhout ûoststellingwerf Oost aan Opmeer Opsterland Orionis Walcheren tss Oud-Beijerland Oude IJsselstreek 0uder-Amstel Overbetuwe Peel en Maas Pijracker*Nootdorp Purmerend Renkum Reusel-De Mierden Ridderkerk Rijnwaarden Rijswijk Roerdalen Roermond Roosendaal Rotterdam Rucphen Schagen Scherpenzeel Schiedam Schiedam Schiermonnikoog Schijndel Schinnen Schouwen*Duiveland s-hertogenbosch s-hertogenbosch Sint-Michielsgestel Sittard-Geleen Slochteren Sluis Smallingerland Soest Someren srn en breug*l Spijkenisse Stadskanaal Staphorst Steenbergen Stein Stichtse Vecht Strijen 5údwest-Fryslån Ten Boer Terschelling Texel Teylingen Tholen Tiel Tilburg Tubbergen Twenterand Tynaarlo Tytsjerksteradiel Ubbergen nåtum ;l $ JUL r81{ Uitgeest Cnze rcferentis Uithoorn :.0 14-000û07ç794 Utrecht Valkenburg aan de Geul Veendam Veere Veghel Veldhoven Velsen Venlo Vianen Vlaardingen Vlagtwedd* Vlieland Vlissingen Voorst Waalre Wageningen Waterland Weert Westervoort Weststellingwerf Westvoorne Wierden Wijchen Woensdrecht Zaanstad Zaltbommel Zederik Zeewolde Zeist Zevenaar Zoeterwoude Zuidhorn Zuidplas Zutphen Zwolle Paginå 4 võn 4