Gemeenteland: Auditland Auditvoordelen door bundeling IT-audit onderdelen
DigiD Assessment
Suwinet Audit BAG BRP BIG Jaarrekeningcontrole
Gemeenteland:
Auditland Auditvoordelen door bundeling IT-audit onderdelen Scriptienummer: 2017 Versie 1.0
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan 1105 1081 HV Amsterdam Auteurs: T. Florack 2514472 B. Klaassen 2514469 Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: Ing. Y.F. Notten MSc. RE
I
Voorwoord Voor u ligt onze scriptie “Gemeenteland: Auditland”, welke tot stand is gekomen in het kader van de Postgraduate opleiding IT Audit Compliance & Advisory aan de Vrije Universiteit Amsterdam. Vanuit onze werkzaamheden als IT-auditors zagen we dat bij gemeenten jaarlijks verschillende (IT) audits worden uitgevoerd. Vaak zit in die audits een overlap wat dan ook leidt tot vragen over de efficiëntie van meermaals hetzelfde doen. Dit hebben wij als startpunt genomen voor ons onderzoek naar de mogelijkheden om verschillende audits te bundelen. Graag maken wij van de gelegenheid gebruik om onze begeleiders, Dhr. Harmzen namens de VU en Dhr. Notten als bedrijfsbegeleider vanuit Deloitte, te bedanken voor hun begeleiding, ondersteuning en het bieden van een “stok achter de deur” op de juiste momenten. Verder uiteraard een woord van dank aan onze vrouwen Marije en Willemijn, die ook de nodige steun hebben geboden en ons vooral hebben moeten missen bij de avondsessies voor het afronden van deze scriptie. Veel leesplezier, Bert Klaassen (Deloitte Risk Services B.V.) Tim Florack (Cuccibu B.V.)
II
Management samenvatting Inleiding Gemeenten worden jaarlijks onderworpen aan een groot aantal audits. Vanuit het IT audit vakgebied behoren ook verschillende audits tot deze (meer)jaarlijkse cyclus. Daarnaast bestaan er audits waarin het IT component een belangrijk onderdeel betreft. Vanuit de praktijk merken we dat tussen de verschillende audits ook overlap aanwezig is. Dit fenomeen zorgt voor inefficiëntie bij de auditor en een verhoogde werklast (auditlast) voor de gemeente. Onze verwachting is dat door het bundelen van (IT componenten van) audits een efficiëntieslag bereikt kan worden. De manier waarop dit mogelijk is hebben we onderzocht aan de hand van de volgende probleemstelling: “Hoe kunnen de IT componenten van verschillende audits gericht op gemeenten gebundeld worden in één assurance opdracht?” Voor dit onderzoek hebben we een vijftal audits (BAG inspectie, zelfevaluatie BRP, Suwinet audit, DigiD assessment en IT audit in het kader van de jaarrekeningcontrole) geselecteerd. Hiervan hebben we onderzocht of een bundeling mogelijk is. Daarbij hebben we ook de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) meegenomen in het onderzoek, omdat in deze baseline reeds een voorschot wordt genomen op de mate waarin de BIG overlapping biedt ten opzichte van reeds bestaande audits.
Analyse op aandachtspunten We hebben een tiental aandachtspunten geïdentificeerd die bepalend zijn voor de aanname en uitvoering van de betreffende audits. Aan de hand van deze aandachtspunten hebben we, tijdens de literatuurstudie, per audit in kaart gebracht hoe de audits zijn opgezet.
Overlap De uitkomsten van het identificeren van overlap wijzen uit dat van de vijf audits er drie een hoge mate van overlap vertonen. Dit betreffen de IT audit jaarrekeningcontrole, het DigiD assessment en de Suwinet audit. Deze drie audits hebben op alle tien de aandachtspunten overlap en ook met betrekking tot de normen vertonen deze veel overeenkomsten. Verder valt op dat de BIG dezelfde algemene IT beheersmaatregelen bevat als deze drie audits. Echter, op het moment van onderzoek is nog niet bekend op welke wijze de BIG in de toekomst verder wordt vormgegeven qua termijn van implementatie, scope en mogelijke audit.
Conclusie Het is mogelijk om de IT componenten van de IT audit jaarrekening, het DigiD assessment en de Suwinet audit te bundelen in één IT audit. Een dergelijke IT audit naar opzet, bestaan en werking dient vorm te krijgen volgens de NOREA Richtlijn Assurance-opdrachten door ITauditors (3000) met een jaarlijkse frequentie. Het normenkader dient de generieke algemene IT beheersmaatregelen te bevatten die voorkomen in alle drie de audits. Daarnaast dient voor de specifieke normen een afzonderlijke auditaanpak bepaald te worden. In plaats van een overkoepelende conclusie dient een conclusie per norm gegeven te worden. De uitvoering van een dergelijk IT audit dient te geschieden door een Register EDP-auditor. Op de langere termijn kan de BIG een overkoepelende c.q. vervangende rol gaan innemen. III
Dit is nu vooral van belang bij de verdere ontwikkeling van de BIG, waarbij rekening dient te worden gehouden met dit perspectief in de mogelijke audit voor de toekomst.
IV
Inhoudsopgave
1.
2.
3.
Inleiding ............................................................................................................................. 1 1.1
Probleemstelling ........................................................................................................ 2
1.2
Doelstelling ................................................................................................................ 3
1.3
Aanpak ....................................................................................................................... 3
Gemeentelijke audits ........................................................................................................ 5 2.1
BAG inspectie............................................................................................................. 6
2.2
Zelfevaluatie BRP ..................................................................................................... 10
2.3
Suwinet audit........................................................................................................... 12
2.4
DigiD assessment ..................................................................................................... 17
2.5
Jaarrekening audit ................................................................................................... 20
2.6
BIG ........................................................................................................................... 23
Overlap ............................................................................................................................ 26 3.1
Overlap in audits...................................................................................................... 26
3.2
Overlap in normen................................................................................................... 27
4.
Assurance ........................................................................................................................ 33
5.
Conclusie ......................................................................................................................... 35
6.
5.1
Probleemstelling: bundelen of vervangen? ............................................................ 35
5.2
Bundelen of BIG overkoepelen................................................................................ 36
5.3
Scoping Suwinet, Jaarrekening, DigiD ..................................................................... 37
5.4
Diepgang en frequentie ........................................................................................... 38
5.5
Politiek bij opdrachtgevers en belanghebbenden................................................... 38
5.6
Geen restricties voor Register EDP auditors ........................................................... 38
5.7
Assurance richtlijn 3000 .......................................................................................... 39
5.8
Kosten en tijd........................................................................................................... 39
5.9
Schaalvoordeel in geval van Shared Service Centers .............................................. 40
5.10
Beantwoording probleemstelling ............................................................................ 40
Reflectie .......................................................................................................................... 41 6.1
Reactie stakeholders ............................................................................................... 41
6.2
Vervolgonderzoek.................................................................................................... 44
6.3
Reflectie Tim Florack ............................................................................................... 45 V
6.4
Reflectie Bert Klaassen ............................................................................................ 46
Literatuurlijst .......................................................................................................................... 47 Geraadpleegde websites ..................................................................................................... 47
Bijlagen Bijlage 1 - Matrix overlap domeinen ....................................................................................... 50 Bijlage 2 - Matrix overlap normen ........................................................................................... 51
VI
1. Inleiding Gemeenten worden jaarlijks onderworpen aan een aantal audits, denk hierbij bijvoorbeeld aan de BAG inspectie, Suwinet audit, DigiD assessment en de IT-audit in het kader van de jaarrekeningcontrole. Deze audits vinden hun grondslag in verschillende soorten van wet- en regelgeving zoals de wet bescherming persoonsgegevens (WBP) en de wet op werk en inkomen of vanuit de wettelijk verplichte jaarrekeningcontrole. Een aantal audits waar gemeenten aan worden onderworpen bevatten ook een IT component. Zie hieronder een korte opsomming van enkele IT aandachtspunten binnen de eerder genoemde audits: • • • •
Audit op algemene IT beheersmaatregelen in het kader van de jaarrekeningcontrole; Audit op toegangsbeveiliging voor bescherming persoonsgegevens; IT-governance normen DigiD assessment; Continuïteit en beschikbaarheid van de IT omgeving.
Uiteraard kan bovenstaande opsomming nog worden uitgebreid met verschillende aandachtsgebieden. De verwachting is dat tussen de audits een bepaalde overlap aanwezig is. Zo is informatiebeveiliging een terugkerend onderdeel en ook wijzigingsbeheer en continuïteit komen herhaaldelijk terug. Dit is zichtbaar in het dagelijks werk van de IT auditor, omdat deze wordt ingeschakeld voor het toetsen van bijvoorbeeld een wijzigingsbeheerprocedure voor een applicatie in het kader van de jaarrekeningcontrole. Hetzelfde proces kan worden getoetst in het kader van het DigiD assessment. In 2013 is de Informatiebeveiligingsdienst voor Gemeenten (IBD) opgericht. Deze richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen 1. In dit kader heeft dit orgaan ook de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Hoewel op het moment van schrijven nog niet bekend is in welke vorm deze als audit plaats gaat vinden, is onze gedachte dat ook deze baseline overlap zal vertonen met reeds bestaande richtlijnen, assessments en audits. Een andere ontwikkeling in gemeenteland is de verschuiving van intern beheer van de IT omgeving naar een uitbesteding van het beheer van de IT omgeving. Deze verschuiving wordt gekenmerkt door samenwerking tussen verschillende gemeenten in de vorm van een Shared Service Center (SSC). Doorredenerend op de audits die een gemeente verplicht dient te ondergaan ontstaat de gedachte dat wanneer gemeenten een bepaald aantal audits ondergaan, een SSC voor een bepaald aantal gemeenten, zoveel keer diezelfde audits dienen te ondergaan (zie ook figuur 1 op de volgende pagina). Een zestal audits voor een gemeente zou kunnen leiden tot een 18-tal audits indien een SSC voor 3 gemeenten de betreffende processen c.q. IT omgeving beheert.
1
https://www.ibdgemeenten.nl/ibd/
1
Figuur 1 Vermenigvuldiging aantal audits
Waar al eerder een artikel 2 is verschenen dat gemeenten pleiten voor minder beveiligingsaudits is de verwachting dat eenzelfde gevoel zal heersen wanneer een serviceprovider een veelvoud van dezelfde audits dient te ondergaan of te faciliteren. Single audit framework is een term die op de werkvloer vaker wordt gehoord en als achtergrond heeft dat organisaties alle verschillende audits die zij (dienen te) ondergaan willen bundelen in één framework. In de profit sector is het afgeven van een Third Party Mededeling (TPM) of een ISAE 3402 voor serviceorganisaties een veelvoorkomende manier om de kwaliteit van de dienstverlening te toetsen en hierover te rapporteren. Binnen het IT vakgebied zijn verschillende richtlijnen die het mogelijk maken om assurance af te geven. NOREA op nationaal vlak en onder andere ISAE internationaal gezien, bieden de richtlijnen om een bepaald proces te auditen en assurance af te geven. Waar bepaalde zaken voor een gemeenten meer dan eens ge-audit worden zou een dergelijk rapport uitkomst kunnen bieden. Dit roept vragen op als: • • • •
Welke IT processen zijn onderdeel van de audits voor gemeenten; Welke onderdelen van de verschillende audits bevatten overlap; Op welke wijze kunnen deze audits gebundeld worden; Is er een mogelijkheid om hier assurance over te verlenen;
1.1 Probleemstelling Bovenstaande vragen trachten we te beantwoorden in deze scriptie en leiden tot de volgende probleemstelling: “Hoe kunnen de IT componenten van verschillende audits gericht op gemeenten gebundeld worden in één assurance opdracht?”
2
http://www.binnenlandsbestuur.nl/digitaal/nieuws/gemeenten-willen-minderbeveiligingsaudits.9172203.lynkx
2
1.1.1 Deelvragen Op basis van voorgaande probleemstelling zijn de volgende deelvragen geformuleerd: 1. 2. 3. 4. 5.
Welke audits worden voor gemeenten verplicht gesteld en wat zijn de karakteristieken? Op welke wijze is controle van IT-beheersmaatregelen onderdeel van de betreffende audits? Aan welke criteria dient de controle van IT-beheersmaatregelen binnen de audits te voldoen? Welke overlap is aanwezig in deze audits op het gebied van IT-beheersmaatregelen? Wat is een assurance-opdracht en kan deze binnen dit kader worden gehanteerd?
1.2 Doelstelling Voor dit onderzoek wordt de volgende doelstelling gehanteerd: “Bepalen of IT componenten van, voor gemeenten verplichte audits, gebundeld kunnen worden in een assurance-opdracht voor gemeenten.”
1.3 Aanpak De aanpak die wordt gehanteerd voor dit onderzoek is schematisch weergegeven in onderstaand figuur. Deze zijn te relateren aan de verschillende deelvragen zoals beschreven in paragraaf 1.1. 1. Gemeente X
2. Audit A/B/C
Audit A Audit B Audit C
3. Audit A/B/C FREQ SCOPE NORMEN
IT Component I IT Component II IT Component III
5. Assurance Audit A IT Component I
4. Overlap
Audit B IT Component I
Audit A IT Component I
Audit B IT Component I Audit C IT Component I
Audit C IT Component I
6. Conclusie Figuur 2 Schematische weergave aanpak
De onderdelen uit bovenstaande schema zijn op te delen in onderstaande eerste drie fases van onderzoek. De vierde fase vindt plaats na het beschrijven van de conclusie: 1. Literatuurstudie naar de verschillende audits; 2. Analyse van de overlap in de audits; 3. Conclusie en beantwoording probleemstelling; 4. Reflectie door betrokkenen uit auditsector en gemeentesector. In de volgende paragrafen worden de stappen in meer detail toegelicht.
3
1.3.1 Literatuurstudie In deze fase wordt een antwoord gegeven op deelvragen één t/m drie. De literatuur ten aanzien van de verschillende audits voor gemeenten is verzameld en op basis van tien vooraf gedefinieerde aandachtspunten uiteengezet. Onder deze aandachtspunten vallen de normen die behoren tot de audits, de diepgang maar ook of er verplichtingen zijn waaraan de auditor dient te voldoen (hoofdstuk 2). Hiervoor is gebruik gemaakt van informatie omtrent de verschillende audits, die veelal vrij toegankelijk is. Bronnen die hiervoor geraadpleegd zijn, betreffen de websites van de verschillende regelgevende instanties en brancheorganisaties. Denk hierbij aan de IBD, de Vereniging Nederlandse Gemeenten (VNG), het Kwaliteits Instituut Nederlandse Gemeenten (KING) en informatie die door auditors beschikbaar is gesteld. Verder is kort in kaart gebracht wat ‘assurance’ inhoudt en op welke wijze gemeenten hun IT onderbrengen in Shared Service Centers (hoofdstuk 4 en 5).
1.3.2 Analyse van overlap Door middel van de – tijdens de literatuurstudie - verzamelde informatie is het mogelijk om de eerder genoemde aandachtspunten aan de hand waarvan de audits in kaart gebracht zijn, naast elkaar te leggen. Hiermee zijn de audits vergeleken op de dezelfde punten. In de eerste stap van deze analyse is op deze aandachtspunten een vergelijking uitgevoerd, welke heeft geleid tot een overzicht van overlap of discrepantie op die aandachtspunten (paragraaf 3.1). De tweede stap is een inhoudelijke analyse van de normen binnen iedere audit. Op deze wijze is onderzocht of de normen overlap vertonen en of de normen van de specifieke audits in meer of mindere mate gelijk zijn aan elkaar (paragraaf 3.2).
1.3.3 Conclusie Op basis van de analyse uit hoofdstuk 3 en de informatie verzamelt in de hoofdstukken 2 en 4 is in hoofdstuk 5 een conclusie beschreven die de probleemstelling en de deelvragen beantwoordt.
1.3.4 Reflectie In hoofdstuk 6 zijn conclusies beschreven die een impact hebben op het werkveld van de auditor, de regelgevende instanties, burgers, en natuurlijk de gemeenten zelf. Kortom, de conclusies hebben een impact voor de stakeholders van audits binnen gemeenten. We hebben de conclusie daarom voorgelegd aan een aantal van deze stakeholders om een reflectie op de conclusie te verkrijgen. Hierbij hebben we gesprekken gevoerd in verschillende settingen met de volgende stakeholders: • • •
Accountants van gemeenten (RA’s); IT Auditors van gemeenten (RE’s); IT medewerkers van gemeenten.
Daarnaast wordt een reflectie op het onderzoek beschreven alsmede aanknopingspunten voor verder onderzoek voorgesteld.
4
2. Gemeentelijke audits Zoals reeds beschreven in de inleiding ligt een lange lijst van wet- en regelgeving ten grondslag aan allerlei audits die gemeenten dienen te ondergaan3. We hebben enkele van deze audits geselecteerd waarvan bekend is dat deze een raakvlak hebben met IT. Deze keuze is gebaseerd op de ervaring met audits binnen gemeenten. Hiermee wordt niet uitgesloten dat andere audits van toepassing zijn die ook een raakvlak met IT hebben. Echter, in verband met een beperking van de scope is gekozen voor deze audits, waarna extrapoleren naar andere audits wellicht mogelijk is. Op deze vraag komen we terug tijdens de reflectie op het onderzoek (hoofdstuk 6). De audits die we in deze paragraaf verder zullen uitwerken zijn de volgende: • • • • •
BAG inspectie Zelfevaluatie BRP (voorheen GBA audit) Suwinet Audit DigiD Assessment IT audit in het kader van de jaarrekening
We hebben een tiental aandachtspunten gedefinieerd die we voor iedere audit in kaart zullen brengen. Aan de hand hiervan kunnen we in hoofdstuk 3 een analyse uitvoeren op overeenkomsten en verschillen te identificeren. De gedefinieerde aandachtspunten zijn in meer of mindere mate bepalend voor de uitvoering van een audit, en betreft zaken die ook vastgelegd dienen te worden bij de aanvaarding van een IT-audit opdracht volgens de richtlijnen van NOREA4. 1. Waarom/doel/opdrachtgever Onder dit punt wordt antwoord gegeven op de vraag waarom een bepaalde audit wordt uitgevoerd, in opdracht van welke instantie en wat daarmee beoogd wordt. 2. Scoping Binnen dit criterium wordt beschreven wat de scope is van de audit, op het vlak van IT. Dit betreft bijvoorbeeld de applicatie of een specifiek proces (onafhankelijk van de applicatie). 3. IT Component Is voor een audit een specifieke IT component in scope die in aanmerking komt voor een IT audit? 4. Diepgang Welke mate van diepgang is gevraagd voor de audit? Betreft dit enkel opzet en bestaan (design & implementation) of ook de werking over een bepaalde periode (operating effectiveness)? 5. Restricties Auditor Onder dit criterium wordt beschreven of er richtlijnen zijn voor de auditor die de audit uitvoert. Bijvoorbeeld of deze aan een bepaalde norm dient te voldoen of over een bepaalde titel en/of certificatie dient te beschikken.
3 4
Tactische Baseline Informatievoorziening gemeenten (KING/VNG, p. 20) Richtlijn Assurance-opdrachten door IT-auditors (3000)
5
6. Frequentie Niet iedere audit heeft een jaarlijkse frequentie. Het is van belang om te weten wanneer een bepaalde audit uitgevoerd dient te worden voor het bepalen of bepaalde audits gebundeld kunnen worden. 7. Normen Beschrijving welk normenkader wordt gehanteerd voor de audit. Daarnaast kunnen normen worden ingedeeld naar soort norm, denk bijvoorbeeld aan governance normen, specifieke geautomatiseerde normen of normen omtrent de algemene IT beheersmaatregelen (GITC). 8. Vastlegging/wijze van documenteren Een beschrijving of er een gestandaardiseerde manier van documenteren is voorgeschreven voor de audit (dossiervorming) en de uiteindelijke uitkomst (rapport). 9. Link met assurance Binnen dit aandachtspunt is beschreven of de audit een bepaald assurance component bezit en zo niet, of dit mogelijk is. 10. Kosten/Tijd Ten aanzien van de benodigde inspanningen in termen van kosten en tijd, is niet veel informatie beschikbaar. Echter, voor bepaalde audits is het bekend dat een vergoeding wordt verschaft. Binnen dit criterium zullen we onderzoeken óf, en hoe kosten en tijd zijn beschreven in de beschikbare informatie. In de volgende paragrafen zullen deze vragen voor de verschillende audits beantwoord worden. Naast de reeds genoemde audits zullen we ook de Baseline Informatiebeveiliging omschrijven aan de hand van de aandachtspunten voor zover mogelijk. Op het moment van schrijven is nog niet bekend op welke wijze een audit van deze baseline vorm gaat krijgen. Derhalve kunnen we niet alle aandachtspunten beschrijven. Echter, gezien de relevantie van de baseline in het licht van bundelen van audits wordt de BIG meegenomen in dit onderzoek. Ten slotte, in de richtlijn zelf wordt al een voorschot genomen op de mate waarin de BIG overlappende normen biedt ten opzichte van reeds bestaande audits.
2.1 BAG inspectie
BAG staat voor ‘Wet Basisregistraties Adressen en Gebouwen’ 5 en is ingevoerd per juli 2009. Het is een registratie per gemeente van alle officiële gegevens van de gebouwen en adressen in de betreffende gemeente. Overkoepelend is er een Landelijke Voorziening BAG (LV BAG of BAGLV). Hierin worden de BAG registraties van alle gemeenten samengevoegd en beschikbaar gesteld aan verschillende afnemende organisaties. De BAGLV wordt beheerd door het Kadaster. De BAG valt onder de verantwoordelijkheid van de minister van Infrastructuur en Milieu.
5
http://wetten.overheid.nl/BWBR0023466/geldigheidsdatum_01-04-2014
6
Figuur 3 de registratie per gemeente komt samen in de BAGLV, waar vanuit de gegevens aan verschillende 6 partijen ter beschikking wordt gesteld.
Onderstaande afbeelding geeft weer welke gegevens per gebouw (bestaand, in aanbouw, gesloopt) worden bijgehouden in de BAG.
Figuur 4 Per gebouw worden meerdere (deel)gegevens geregistreerd
De gegevens uit de BAG vormen, samen met de andere basisregistraties, de basis voor de diensten van de overheid. Om te waarborgen dat alleen met goede gegevens wordt gewerkt zijn alle organisaties met een publieke taak zelfs verplicht om gebruik te maken van de gegevens uit de BAG.
Figuur 5 Het gebruik van de BAG gegevens voor de verschillende diensten van de overheid.
6
http://www.kadaster.nl/web/Themas/Registraties/BAG-1.htm
7
Begin 2014 is door de Auditdienst Rijk (ADR) een evaluatie uitgevoerd van de Wet BAG. Namens het ministerie van Infrastructuur en Milieu is deze evaluatie voorzien van een beleidsreactie en aangeboden aan de kamer 7. In het rapport staan opmerkingen over de uitvoer van de inspecties en de wijze en mogelijkheden waarmee dit wordt gedaan. Voor de korte en lange termijn moeten dan ook wijzigingen worden doorgevoerd. Voor de lange termijn zijn vier werkgroepen gevormd welke in het najaar van 2014 hun advies gereed zullen hebben. Voor de korte termijn zijn er reeds een aantal aanpassingen aangegeven voor het normenkader dat gebruikt wordt bij de BAG controle. Waar bijvoorbeeld voorheen werd gesproken over een audit, wordt de controle nu een inspectie genoemd. Waarom/doel/opdrachtgever In de wet BAG staat beschreven dat burgemeesters en wethouders per gemeente periodiek een inspectie laten uitvoeren. De inspectie heeft als doel om vast te stellen of de BAG registratie van de betreffende gemeente voldoet aan de kwaliteit van de wettelijk gestelde eisen en om de kwaliteit van de registratie te verbeteren. De uitkomsten van de uitgevoerde inspectie dienen te worden opgeleverd aan het ministerie van Infrastructuur en Milieu. Scoping De scope van de inspectie is gericht op het beoordelen van de gegevens in de registratie, de processen rond het beheer van de gegevens en het gebruikte informatiesysteem voor de basisregistraties van adressen en gebouwen. In het ‘Besluit basisregistraties adressen en gebouwen’ 8 staat dit in artikel 13 beschreven als vier onderdelen, namelijk: a. de in het adressenregister en het gebouwenregister ingeschreven brondocumenten; b. de in het adressenregister en het gebouwenregister opgenomen gegevens; c. de wijze waarop de processen rond de registratie zijn georganiseerd; d. de juistheid en de continuïteit van het gebruikte informatiesysteem. IT Component Het gebruikte informatiesysteem, zoals genoemd in de scope van de inspectie, wordt getoetst als IT onderdeel. Er wordt hierbij voornamelijk getoetst of het gebruikte informatiesysteem een geschikte applicatie is, in hoeverre er een uitwijk voorziening is ingeregeld voor het systeem en de wijze waarop back-up is ingeregeld van het systeem en de gegevens. Diepgang (D&I/OE) De diepgang voor de BAG inspectie betreft opzet, bestaan en werking. Voor het bepalen van de steekproefgrote bij het testen van de werking geeft het inspectieprotocol een staffel. Deze staffel is op basis van het aantal mutaties in objecten gedurende de periode waarover de inspectie zich strekt. Dit aantal loopt op tot 100 steekproeven bij meer dan 2500 mutaties. Restricties Auditor Een gemeente mag de inspectie alleen laten uitvoeren door een geaccrediteerde inspectie instelling. De accreditatie wordt toegewezen door de Raad van Accreditatie 9 op basis van de voorwaarden dat de betreffende instelling voldoet aan de NEN-EN-ISO/IEC 17020: 2012 7
http://bag.vrom.nl/sites/default/files/Def duidingsdocument 2014 dd 02052014 vastgesteld 07052014_0.pdf 8 http://wetten.overheid.nl/BWBR0025520/geldigheidsdatum_01-04-2014 9 http://www.rva.nl/
8
(criteria voor het functioneren van verschillende soorten instellingen die keuringen uitvoeren). Hierin is opgenomen dat de instelling tenminste eenmaal per jaar deelneemt aan een bijeenkomst waar de uitvoering van de BAG inspecties worden geëvalueerd en dat de betreffende instelling beschikt over een onafhankelijkheid type C (NEN-EN-ISO/IEC 17020: 2012). De genoemde type C normering beschrijft de onafhankelijkheid van de betreffende instelling ten opzichte van het controle object. In Nederland zijn momenteel 7 organisaties geaccrediteerd om een BAG inspectie uit te voeren. Frequentie De inspectie voor de BAG dient de gemeente eens in de drie jaar te laten uitvoeren. Deze eis komt voor uit de wet BAG 10, waar in het eerste lid van artikel 42 het als volgt staat beschreven: Artikel 42 1. Burgemeester en wethouders laten eens per drie jaar de uitvoering van het bij of krachtens deze wet bepaalde controleren door een bedrijf dat voldoet aan de eisen, bedoeld in het vierde lid, onderdeel c.
Normen Vanuit de wetgeving, de regeling en het inspectieprotocol 11, is er een standaard protocol van toepassing voor een BAG inspectie. Zie externe bijlage 1. Het protocol is goedgekeurd door de minister van Infrastructuur en Milieu en wordt beheerd, in opdracht van de minister, door het NEN. Het inspectie protocol bevat 59 beheersmaatregelen, waarvan er 32 verplicht zijn om te toetsen. Het protocol bevat beheersmaatregelen over de volgende gebieden: • • • • • • •
Verificatiepunten bestandscontroles Verificatiepunten steekproef registratie en register Verificatiepunten controle inbedding processen Verificatiepunten controle werking processen Verificatiepunten BAG conforme applicatie Verificatiepunten continuïteit systeem (uitwijk) Verificatiepunten continuïteit systeem (back-up en herstel)
Vastlegging/wijze van documenteren Vanuit de wetgeving, de regeling en het inspectieprotocol is er een model inspectierapport 12 beschikbaar welke als format dient voor de vastlegging van de uitkomsten van een inspectie. In het rapport dient per onderdeel, zoals beschreven bij ‘Normen’ een oordeel worden gegeven van Voldoende of Onvoldoende. Verder dient een overall conclusie te worden gegeven in hoeverre de betreffende gemeente wel of niet voldoet aan de eisen gesteld in het inspectieprotocol. Als bijlage bij de rapportage dient per beheersmaatregel te worden aangegeven of de gemeente aan de betreffende maatregel heeft voldaan.
10
http://wetten.overheid.nl/BWBR0025520/geldigheidsdatum_01-04-2014 http://bag.vrom.nl/sites/default/files/beheeraudit_bag_2010_concept_044.pdf 12 http://bag.vrom.nl/sites/default/files/Model_inspectierapportage_BAG_2012.pdf 11
9
Link met Assurance In het protocol voor de BAG inspectie staat beschreven dat wanneer de gemeente beschikt over een eigen externe auditrapportage over de werking van de gemeentelijke gegevensverwerking, dat een dergelijk rapport mag worden gebruikt door de BAG inspecteur. De BAG inspecteur kan op basis van de rapportage vaststellen in hoeverre bepaalde onderdelen van de BAG inspectie in voldoende mate zijn getoetst en beschreven. Indien dit in voldoende mate is gebeurd, mag de inspecteur de rapportage gebruiken als input en hoeft het de betreffende onderdelen niet meer zelf te toetsen en/of te beschrijven. Het inspectieprotocol schrijft niet voor of er verdere vereisten zijn verbonden aan de externe auditrapportage. Kosten/Tijd In de documentatie wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd.
2.2 Zelfevaluatie BRP BRP staat voor ‘Wet Basis Registratie Personen’ 13 en is ingevoerd per januari 2014. Het is een registratie per gemeente van persoonsgegevens van iedereen die in Nederland woont. Tevens kunnen de gegevens van Nederlanders in het buitenland wonen erin worden opgenomen. Voorwaarde is dat deze personen een relatie hebben met Nederlandse overheidsinstellingen. Alle registraties per gemeente zijn via de landelijke infrastructuur van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) met elkaar verbonden. Deze landelijke infrastructuur wordt beheerd door het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR), een onderdeel van het ministerie van BZK. De wet BRP is een samenvoeging van wat voorheen was vastgelegd in het GBA (Gemeentelijke Basis Administratie persoonsgegevens) en de RNI 14 (Registratie NietIngezetenen). Voor de invoering van het GBA in 1994, heette deze administratie het Bevolkingsregister. Het invoeren van de BRP is op moment van schrijven nog niet afgerond, maar dient volgens planning wel te zijn afgerond in 2016 15. De registratie bevat onder andere, maar is niet beperkt tot, de volgende persoonsgegevens: • • • • • • •
Familienaam, voornamen, geslacht, geboortedatum, geboorteplaats en geboorteland; Gegevens over nationaliteit en eventueel over het verblijfsrecht; Verblijfplaats (adres); Het Burgerservicenummer (BSN). Gegevens over de ouders; Gegevens over huwelijk en geregistreerd partnerschap; Gegevens over kinderen;
13
http://wetten.overheid.nl/BWBR0033715/geldigheidsdatum_01-04-2014 http://wetten.overheid.nl/BWBR0034319/geldigheidsdatum_01-04-2014 15 http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/basisregistratie-personen-brp 14
10
Iedere persoonlijke wijziging, zoals bijvoorbeeld een geboorte, verhuizing, huwelijk, vertrek naar het buitenland of overlijden leidt tot een mutatie in het BRP. Deze gegevens worden door alle organisaties met een publieke taak verplicht gebruikt als de basis voor de persoonlijke gegevens. Waarom/doel/opdrachtgever Waar voorheen het GBA per gemeente periodiek moest worden geaudit, is de controle bij de BRP vooralsnog anders georganiseerd. Iedere gemeente dient zelf jaarlijks een onderzoek uit te voeren 16. De uitkomsten van het eigen onderzoek dient de gemeente op te leveren aan het College Bescherming Persoonsgegevens (CBP), het agentschap BRP en aan de minister van BZK. Er is aangekondigd dat het ministerie in aanvulling op de onderzoeken van de gemeenten een nader onderzoek, door middel van steekproef, zullen uitvoeren om de bevindingen te controleren. Scoping De scope van het eigen onderzoek dat de gemeente moet uitvoeren dient te bestaan uit drie onderdelen, namelijk: •
•
•
Digitale vragenlijst BRP; Een set van 120 vragen verdeelt over 7 categorieën betreffende beleid en regelgeving, processen, gegevens, personeel, fysieke beveiliging, calamiteiten en naleving. Zie externe bijlage 2 voor de complete vragenlijst. De bestandscontrolemodule; De bestandscontrolemodule 17 voert een controle uit op de gegevens in de BRP registratie door middel van ongeveer 2000 controleregels. Deze controles komen voort uit de wettelijke voorschriften en op basis van het logisch ontwerp GBA. Webapplicatie kwaliteitsmonitor; De kwaliteitsmonitor 18 ondersteunt de gemeente bij het uitvoeren van de controle op kwaliteit van de gegevens en de processen met betrekking tot de Basisregistratie Personen. Het is een website in een besloten netwerk beschikbaar voor gemeenten.
IT Component Voornamelijk in de digitale vragenlijst zijn een aantal vragen opgenomen met betrekking tot het informatiesysteem en het beheer van de applicatie. De bestandscontrolemodule en de webapplicatie kwaliteitsmonitor zijn vooral gericht op de data en in mindere mate op het systeem. Diepgang (D&I/OE) De diepgang voor het door de gemeente zelf uit te voeren BRP onderzoek betreft opzet, bestaan en werking. Voor de vragenlijst BRP is een handleiding zelfevaluatie beschikbaar, waarin per vraag staat aangegeven in hoeverre de betreffende vraag in opzet, bestaan en werking moet worden beantwoord. 16
http://www.bprbzk.nl/BRP/Zelfevaluatie_BRP http://www.bprbzk.nl/BRP/Zelfevaluatie_BRP/Bestandscontrolemodule 18 http://www.bprbzk.nl/Kwaliteitsmonitor 17
11
Restricties Auditor Het eigen onderzoek wordt gekenmerkt als zelfassessment, waarbij de verwachting is dat dit door de gemeente zelf kan worden uitgevoerd. In de wet BRP wordt echter niet verplicht gesteld dat dit een eigen medewerker moet zijn, tevens wordt een externe medewerker niet uitgesloten. Frequentie Vooralsnog is door het agentschap BPR aangekondigd dat het onderzoek jaarlijks per gemeente dient te worden uitgevoerd, hierbij is 2014 het eerste jaar. In artikel 4.3 van de wet BRP 19 staat echter alleen beschreven dat de gemeente periodiek een onderzoek moet laten uitvoeren. Artikel 4.3 1. Het college van burgemeester en wethouders verricht periodiek een onderzoek naar de inrichting, de werking en de beveiliging van de basisregistratie, alsmede naar de verwerking van gegevens in de basisregistratie, voor zover het de gemeentelijke voorziening betreft of het college verantwoordelijk is voor de bijhouding. 2. Het college van burgemeester en wethouders zendt periodiek een uittreksel van de resultaten van het onderzoek aan het College bescherming persoonsgegevens.
Normen Behalve de digitale vragenlijst zijn er geen normen als zijnde beheersmaatregelen beschreven. Voor de data en de afwijkingen zijn wel normen beschreven. Deze normen worden alleen bij de uitkomsten van de data analyse gebruikt. Vastlegging/wijze van documenteren De vastlegging van de bestandscontrolemodule gebeurt in de web applicatie kwaliteitsmonitor. De 120 vragen uit de digitale vragenlijst kunnen in de betreffende vragenlijst worden beantwoord. Er hoeft geen aparte rapportage te worden opgesteld. Link met Assurance Er is geen directe link met TPA/Assurance te maken. In principe moet de gemeente zelf een onderzoek uitvoeren en deze rapporteren. Het gebruik van gegevens uit een generieke audit bij de betreffende gemeente is echter niet uitgesloten en kan de gemeente helpen bij het invullen van de vragen van de digitale vragenlijst. Kosten/Tijd Voor de zelfevaluatie wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd.
2.3 Suwinet audit
Suwi staat voor Wet structuur uitvoeringsorganisatie werk en inkomen 20 en is ingegaan per november 2001. Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en 19 20
http://wetten.overheid.nl/BWBR0033715/geldigheidsdatum_01-04-2014 http://wetten.overheid.nl/BWBR0013060/geldigheidsdatum_01-04-2014
12
Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet 21. Het betreft hier inkomensgegevens, uitkeringsgegevens en andere persoonsgebonden en privacygevoelige informatie. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Het beheer van Suwinet wordt uitgevoerd door Bureau Keteninformatisering Werk en Inkomen (BKWI). De afbeelding op de volgende pagina geeft weer welke bronnen worden geraadpleegd en welke partijen toegang hebben tot deze bronnen.
Figuur 6: Suwinet schematisch weergegeven
22
In december 2013 is door Staatssecretaris van Sociale Zaken Jetta Kleinsma een brief verstuurd aan de Nederlandse gemeenten waarin wordt gerefereerd aan een onderzoek naar de informatiebeveiliging rondom Suwinet door gemeenten 23. Hiervoor zijn een 7-tal normen op het vlak van informatiebeveiliging voorgelegd aan 80 gemeenten. Uit deze bevraging is als uitkomst gekomen dat meer dan de helft van de ondervraagde gemeenten slechts aan enkele normen voldoet. Slechts 4 procent van alle ondervraagde gemeenten hebben voldoende maatregelen getroffen om informatiebeveiliging te waarborgen; 13 procent voldoet aan geen enkele norm. De staatssecretaris stelt in haar brief dat deze zaken rondom informatiebeveiliging op orde moeten komen en geeft daarbij aan dat ook het college bescherming persoonsgegevens (CBP) geïnformeerd is. Dit college heeft de bevoegdheid dwangsommen op te leggen indien niet voldaan wordt aan de maatregelen. Verder geeft zij aan genoodzaakt te zijn om verdere maatregelen te nemen, in termen van opschorting van leveren van gegevens, indien de gemeenten hun verantwoordelijkheid voor de beveiliging van Suwinet niet nemen. Bovenstaande geeft aan dat Suwinet voor gemeenten een belangrijk speerpunt zal zijn binnen informatiebeveiligingsbeleid. Ook het auditen van de maatregelen omtrent de beveiliging van Suwinet zal hierdoor meer aandacht krijgen. Hieronder zullen de eerder genoemde onderwerpen beschreven worden voor Suwinet. 21
http://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-metbeveiliging-suwinet.html 22 Naar veiliger gebruik van Suwinet, VNG 23 Brief staatssecretaris J. Klijnsma aan gemeenten (referentie: 2013-0000166483, dd. 19 december 2013)
13
Waarom/doel/opdrachtgever Zoals hierboven al beschreven vindt een audit op Suwinet plaats om te toetsen of een betrouwbare gegevensuitwisseling met betrekking tot persoonsgegevens wordt gewaarborgd. Zoals staat beschreven in de “Verantwoordingsrichtlijn voor de EDP-audit van de beveiliging van Suwinet” (Conceptversie 2.0 definitief) dienen Suwi-partijen – zoals gemeenten - jaarlijks te rapporteren aan het ministerie van Sociale Zaken en Werkgelegenheid en Inspectie Werk & Inkomen over: “de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via het Suwinet.” De opdracht tot deze audit wordt verstrekt door: • De Raad van Bestuur van CWI, SVB, respectievelijk UWV; • Het Stichtingsbestuur van het Inlichtingenbureau; • De gemeenteraad voor de gemeentelijke sociale diensten; • De Algemeen Directeur van de Arbeidsinspectie; • De Directeur van, respectievelijk de SIOD; • De Directeur van het BKWI. Het BKWI is de ondersteunende instantie die zorg draagt voor het beheer van Suwinet, dus het beheer van de technische voorzieningen waarmee de Suwi-partijen gegevens kunnen opvragen en uitwisselen. De algemene doelstelling van Suwinet, waaraan deze audit dient bij te dragen betreft: ‘het creëren van waarborgen ten aanzien van de kwaliteit van gegevens, bescherming van privacy en andere beveiligingsmaatregelen binnen het Suwidomein en de zeggenschap van elke organisatie over de eigen onderdelen van het Suwinet’. Verder liggen de volgende aanleidingen ten grondslag aan het jaarlijks uitbrengen van een verklaring door een EDP-auditor: • Op basis van een analyse door het CBP 24 is bepaald dat de te verwerken gegevens vallen in de risicoklassen II en in bepaalde gevallen III. Dit betreft persoonsgegevens met respectievelijk een verhoogd en een hoog risico. • De processen hebben een maatschappelijk belang in bijvoorbeeld de vorm dat deze leiden tot het toekennen van uitkering. • Het betreft een wettelijke regeling waardoor uit het niet nakomen ook juridische maatregelen kunnen voortkomen. • Een politiek belang in verband met een situatie waarbij de Minister ter verantwoording geroepen kan worden indien de processen niet voldoen. • Een laatste aanleiding betreft ook de noodzaak tot een hoge beschikbaarheid van de processen. Indien Suwinet niet beschikbaar is leidt dit tot stagnatie van de processen en mogelijk tot het niet tijdig verstrekken van benodigde informatie. Scoping De scoping betreft een toetsing van de kwaliteitsaspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van het stelsel van procedures en maatregelen rondom het Suwinetdomein. Hiervoor zijn 3 segmenten te onderscheiden, welke 24
‘Beveiliging persoonsgegevens’ –Achtergrond en Verkenningen 23, april 2001 (CBP)
14
schematisch zijn weergegeven in het figuur op de volgende pagina. Per segment wordt hieronder beschreven óf en op welke manier deze tot de scope behoort. A. Suwi-partij (bijv: gemeente): Primaire gegevensverwerking door bedrijfsprocessen en systemen bij Suwi-partijen. Dit betreft dus ook ondersteunende processen, zoals financiën en personeelszaken. Dit segment valt buiten de scope van de audit. B. Suwinet: Dit betreft het centrale Suwinetdomein, waarvan het beheer onder de verantwoordelijkheid valt van het BKWI. De processen binnen dit segment zijn niet de verantwoordelijkheid van een suwi-partij. Dit gedeelte behoort tot de scope van de audit. C. Koppelvlak: Dit segment betreft de koppeling tussen de suwi-partij en Suwinet. Alle processen en stromen gerelateerd aan de gegevensuitwisseling bevinden zich binnen dit segment. Hierin bevinden zich dus ook de interfaces tussen segmenten A en B.
Figuur 7 Scoping Suwi segmenten
In de praktijk zal segment B niet tot de audit behoren die bij de gemeente wordt uitgevoerd. Derhalve zullen we ons in de hiernavolgende paragrafen beperken tot de audit op segment C, namelijk het koppelvlak. IT Component De IT component is specifiek in te richten door de betreffende gemeente c.q. Suwi-partij. De audit dient zich te richten op applicaties, processen en infrastructuur van de omgeving(en) gerelateerd aan Suwinet. Hiermee is niet één specifieke component te benoemen, het kunnen ook meerdere omgevingen zijn waar gegevensuitwisseling met Suwinet plaatsvindt. Er zijn enkele specifieke Suwinet toepassingen die tot de scope behoren, te weten: SuwinetInkijk, Suwinet-Inlezen, Suwinet-Melding, Suwinet-Mail. Diepgang (D&I/OE) In de opdrachtomschrijving, zoals omschreven in de verantwoordingsrichtlijn, staat beschreven dat de diepgang opzet, bestaan en werking betreft (D&I&OE). De register EDP-auditor dient toereikende informatie te verkrijgen zodat met een redelijke mate van zekerheid kan worden geconcludeerd dat in die diepgang wordt voldaan aan de hierboven genoemde kwaliteitsaspecten.
15
Restricties Auditor De bedrijfsprocessen van de gemeenten zijn de verantwoordelijkheid van de gemeenten. Daarnaast hebben gemeenten (en andere Suwi-partijen) de plicht om een IT-audit te laten uitvoeren door een Register EDP-Auditors (NOREA). De keuze hierin staat de Suwi-partij vrij. Hiermee is een inschrijving in het Register voor EDP auditors noodzakelijk voor het mogen uitvoeren van de audit. Verder zijn geen criteria beschreven voor de auditor. Frequentie In de richtlijn staat beschreven dat Suwi-partijen jaarlijks voor 15 maart dienen te rapporteren over eerder beschreven maatregelen. Dit is tevens wettelijk vastgelegd in de regeling Suwi in de artikelen 5.22 Verantwoording gegevensverwerking en 6.4 Beveiliging Suwinet. Normen Het normenkader dat voorgeschreven wordt voor de Suwinet audit is ontwikkeld door de werkgroep verantwoordingsrichtlijn (WGV) en vastgesteld door het Algemeen Keten Overleg (AKO). In dit overleg nemen de Suwipartijen zitting en worden strategische vraagstukken behandeld. Het normenkader ontleent normen uit de ‘code voor informatiebeveiliging’, documentatie van het “College Bescherming Persoonsgegevens’, Cobit, en specifieke Suwinet maatregelen. Het normenkader is onderverdeeld in 22 aandachtsgebieden, welke hieronder staan opgesomd. Voor het volledige normenkader, met normen gericht op de Suwi-partij (segment C uit figuur 7), zie externe bijlage 3. 1. Beveiligingsbeleid en beveiligingsplan 2. Organisatorische aspecten 3. Architectuur / Standaarden 4. Dienstenniveau Beheer 5. Capaciteitsbeheer 6. Continuïteitsbeheer 7. Configuratiebeheer 8. Incidentbeheer 9. Probleembeheer 10. Wijzigingsbeheer 11. Testen 12. Netwerkbeheer 13. Logische toegangsbeveiliging 14. Fysieke beveiliging 15. Suwinet-Inkijk 16. Suwinet-Inlezen 17. Suwinet-Meldingen 18. Suwinet-Mail 19. Toegangsbeveiligingspakket 20. Server 21. Netwerk 22. Koppelingen / koppelpunten Van de in totaal 104 maatregelen zijn 23 normen aangemerkt als zijnde van essentieel belang. Aan deze normen dient door de Suwi-partij minimaal voldaan te worden.
16
Vastlegging/wijze van documenteren In de verantwoordingsrichtlijn staat beschreven dat de EDP-auditor de vrijheid heeft om de controleaanpak en de vastlegging te bepalen. Voor het rapporteren over de audit zijn wel richtlijnen beschreven, namelijk drie soorten rapportages: 1. Een jaarlijkse rapportage van de suwi-partij én het BKWI aan de minister, voorzien van een oordeel met rapport van bevindingen; 2. Een publieke versie van de jaarlijkse rapportage (kan gelijk zijn aan de jaarlijkse rapportage); 3. Een samenvattende rapportage over de beveiliging van Suwinet (enkel voor BKWI en dus niet in scope voor dit onderzoek). Het oordeel kan tevens 3 verschillende strekkingen hebben, namelijk: 1. Een Oordeel “Het stelsel van maatregelen voldoet aan de norm”; 2. Een Oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect”. Bevindingen mogen dan niet materieel zijn of geconstateerd zijn bij één van de 23 genoemde kritische normen. Is dat wel het geval dan leidt dit tot het oordeel zoals hierna beschreven; 3. Een Oordeel “Het stelsel van maatregelen voldoet niet aan de norm”. In het geval van de laatste twee oordelen zal in de rapportage een paragraaf opgenomen dienen te worden waarin wordt toegelicht welke afwijkingen zijn geconstateerd. Daarnaast dient gemotiveerd te worden waarom een afwijking al dan niet afbreuk doet aan het oordeel. Voor deze oordelen zijn standaardmodellen opgesteld die gehanteerd dienen te worden. Link met Assurance Het betreft een audit zoals die ook voor assurance gebruikt wordt. Kenmerkende zaken, zoals een oordeel, mate van zekerheid, de diepgang en het gebruik van kwaliteitscriteria worden ook gehanteerd bij een assurance opdracht volgens Norea richtlijn 3000 of een ISAE 3402. Kosten/Tijd In de richtlijn wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd.
2.4 DigiD assessment DigiD is het systeem dat door overheidsdiensten gebruikt wordt om de gebruiker te authentiseren. Het systeem is in 2003 gelanceerd en in 2013 waren er 10 miljoen gebruikers van het ‘digitale paspoort 25. Het is ontwikkeld door BKWI – zie ook Suwinet - en wordt momenteel beheerd door Logius, onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Met DigiD is het mogelijk om voor bijna 600 organisaties digitaal te authentiseren26 waarvan 378 gemeenten (peildatum 16 juni 2014) 27.
25
http://nl.wikipedia.org/wiki/DigiD http://www.logius.nl/producten/toegang/digid/ 27 https://www.digid.nl/over-digid/wie-doen-mee/ 26
17
Een gemeente biedt haar burgers de mogelijkheid om online in te loggen middels hun persoonlijke DigiD. Vervolgens kan men bepaalde diensten afnemen, zoals het aanvragen van een paspoort het aanvragen van de WOZ beschikking of een omgevingsvergunning. In oktober 2011 brengt Webwereld.nl via de berichtgeving ‘lektober’ aan het licht dat de beveiliging van DigiD voor 50 gemeenten niet op orde is 28. Dit heeft er uiteindelijk toe geleid dat vanuit de minister opdracht is gegeven tot het (laten) uitvoeren van het DigiDbeveiligingsassessment op basis van ICT Beveiligingsrichtlijnen zoals opgesteld door het Nationaal Cyber Security Centrum (NCSC). In eerste instantie heeft zich dit enkel gericht op de zogenaamde ‘grootverbruikers’ zoals Dienst Uitvoering Onderwijs en de Belastingdienst, maar per eind 2013 dienen ook gemeenten een dergelijk assessment te hebben uitgevoerd. Waarom/doel/opdrachtgever Middels DigiD kan worden ingelogd op de omgeving van overheidsinstanties en zijn privacygevoelige gegevens van burgers inzichtelijk. Naar aanleiding van verschillende beveiligingsincidenten is het nodig geacht om een jaarlijks assessment in het leven te roepen om het niveau van informatiebeveiliging naar een hoger niveau te tillen 29. De opdrachtgever in deze is dan ook de overheid in de vorm van beheerorganisatie Logius. Scoping De scope, zoals beschreven door Logius, betreft "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Op basis van praktijkervaring betekent dit dat de scope uitgesplitst kan worden in een viertal onderdelen: 1. Governance normen die betrekking hebben op het proces; 2. Normen met betrekking tot de infrastructuur; 3. Normen met betrekking tot de werking van de applicatie; 4. Uitvoering van de penetratietest. Deze is geen integraal onderdeel van het assessment, maar de beveiligingsrichtlijnen schrijven voor dat een dergelijk test jaarlijks wordt uitgevoerd. Of al deze onderdelen van toepassing zijn voor de gemeente is afhankelijk van inrichtingskeuzes die de gemeente vrij staat te maken. Zo is het bijvoorbeeld mogelijk dat een gemeente intern de webapplicatie host, of dat ze dit hebben uitbesteed. Ook bestaat de mogelijkheid dat een bepaalde partij een webapplicatie als Software-as-a-Service (SaaS) oplossing aanbiedt, en dat er nog een derde partij betrokken is voor de infrastructuur. Dit heeft vanzelfsprekend ook een impact op de scoping voor het assessment dat bij een gemeente uitgevoerd dient te worden. Voor ons onderzoek zullen we de beveiligingsrichtlijnen als voorgeschreven voor het DigiDassessment als geheel beschouwen en zullen we geen onderscheid maken in de inrichting die een gemeente hanteert. Dit met uitzondering van het daadwerkelijk uitvoeren van de penetratietest, wat niet tot de IT auditwerkzaamheden behoort. IT Component Zoals hierboven ook beschreven is dit sterk afhankelijk van de inrichting van de gemeente. In de meeste gevallen is er sprake van een Content Management Systeem, dat gebruikt wordt 28 29
http://webwereld.nl/beveiliging/54950-lektober-superknaller-megalek-treft-50-gemeenten Kamerbrief ‘ICT-beveiligingsassessments DigiD gebruikende organisaties’ (2-2-2012, kenmerk: 2012-
0000057362)
18
om de DigiD website te vullen. Hiervoor kunnen verschillende aanbieders gekozen worden die de applicatie dan vaak als een SaaS oplossing aanbieden. Daarnaast is sprake van een DMZ waarin zich de DigiD productieserver bevindt en in een ander segment bevindt zich bijvoorbeeld een pre-productieserver van waaruit content gepushed wordt naar de productieserver. Dit betreft slechts een mogelijkheid en is, nogmaals, sterk afhankelijk van de inrichting. Dit geldt ook voor de uitvoering van de penetratie test. Zie bijvoorbeeld onderstaande afbeelding voor een mogelijke inrichting.
Figuur 8: Voorbeeld inrichting DigiD omgeving
30
Een component die per definitie voor iedere gemeente zal gelden is procesmatig en betreft de wijze waarop wordt omgegaan met informatiebeveiliging, contractbeheer (SLA) en wijzigingsbeheer. Diepgang (D&I/OE) De diepgang voor het DigiD Assessment betreft opzet en bestaan (D&I). In het eerste jaar van uitvoering (2013) is dit op die wijze voorgeschreven en ook voor het assessment in 2014 is de werking nog niet in de scope verwerkt. Het is op het moment van schrijven niet bekend of dit voor de komende jaren alsnog zal worden gewijzigd. Restricties Auditor Logius schrijft voor dat het assessment uitgevoerd dient te worden door een Register EDPAuditor (RE) die is aangesloten bij NOREA. Wanneer organisaties zelf een RE in dienst hebben mag deze een self-assessment uitvoeren waarop een RE van een andere partij deze dient te reviewen. Verder worden geen eisen gesteld aan de auditor die het assessment uitvoert.
30
rapportage template Logius
19
Frequentie Met ingang van 2013 dienen partijen die zijn aangesloten bij DigiD jaarlijks een rapport van een onafhankelijke auditor aan Logius toe te sturen voor 31 december van het betreffende jaar. Voor 2014 is de werkelijke opleverdatum verplaatst naar 1 mei 2015. Normen Het NCSC heeft een document gepubliceerd met “ICT-beveiligingsrichtlijnen voor webapplicaties”. Deze geldt als basis voor het DigiD normenkader. De 28 normen die gelden voor het DigiD assessment zijn geselecteerd op basis van hoogste impact op de veiligheid van DigiD. De norm is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. Zie externe bijlage 4 voor een overzicht van de 28 DigiD maatregelen. Afhankelijk van de inrichting dienen deze normen op verschillende plaatsen getoetst te worden: • • •
Gemeente; Hosting partij; Ontwikkelaar applicatie.
Vastlegging/wijze van documenteren Voor de uitvoering van de werkzaamheden gelden de richtlijnen zoals beschreven in NOREA richtlijn 3000. Voor de rapportage is een standaard rapportage beschikbaar gesteld door Logius. Voor de conclusie wordt per norm bepaald of deze voldoet. Een totaaloordeel over alle normen is niet van toepassing. Aanbevelingen of eventuele aanvullende informatie is primair bedoeld voor de opdrachtgever (gemeente in dit geval) en zijn niet bedoeld voor Logius. Link met Assurance De richtlijn die de RE in acht dient te nemen voor het uitvoeren van het assessment betreft Norea richtlijn 3000. Dit betreft dezelfde richtlijn als degene die wordt gebruikt voor het afgeven van assurance over bepaalde processen of omgevingen. In dat opzicht is het assessment identiek aan dergelijke assurance opdrachten. Daarnaast wordt ook voor hosting providers gerelateerd aan DigiD gebruik gemaakt van assurance rapportages/TPA’s waarvan de resultaten worden geïntegreerd in de rapportage voor het assessment voor een specifieke gemeente. Kosten/Tijd In de richtlijnen wordt niet gesproken over de kosten/tijd die het assessment met zich mee brengt. Dit is ook sterk afhankelijk van de inrichting, een gemeente met eigen hosting zal logischerwijs aanzienlijk meer tijd kwijt zijn met de voorbereiding en het daadwerkelijke assessment dan een gemeente waar enkel de governance normen van toepassing zijn. Inherent hieraan is de benodigde tijdsbesteding van de IT auditor.
2.5 Jaarrekening audit
Het ontstaan van IT audit vindt zijn grondslag in de accountancy 31. Naarmate de administratieve organisatie geautomatiseerd werd in de tweede helft van de vorige eeuw, 31
Praktijkboek Financieel Management afl. 34 (december 1996), XIV.2.5, M. Groesz
20
ontstond de behoefte aan een controle op die geautomatiseerde gegevensverwerking. Dit om zekerheid te verschaffen over de integriteit van die gegevensverwerking. Het controleren en afgeven van een goedkeurende verklaring bij de jaarrekening behoort tot de belangrijkste werkzaamheden van de accountant. Voor de jaarrekeningcontrole worden bepaalde risico’s gedefinieerd op basis van de materialiteit van de jaarrekeningcontrole. Deze materialiteit wordt, volgens artikel 320 van de Handleiding Regelgeving Accountancy, toegepast bij de oordeelsvorming inzake de omvang van afwijkingen die kunnen leiden tot een verkeerde interpretatie van de jaarrekening32. Een bepaald proces dat als materieel wordt gekenmerkt, kan in meer of mindere mate afhankelijk zijn van een geautomatiseerde gegevensverwerking. Denk hierbij bijvoorbeeld aan het digitaal verwerken van inkoopfacturen of het toepassing van 3-waymatching tussen inkooporder, binnenboeken goederen en matchen van de factuur. De toetsing van de geautomatiseerde elementen binnen de interne beheersing wordt ook voorgeschreven door de vaktechniek (Standaard 315.8), bijvoorbeeld in de vorm van een automatiseringsparagraaf in de management letter naar aanleiding van de jaarrekeningcontrole. Voor een dergelijke automatiseringsparagraaf wordt de IT omgeving van een organisatie in kaart gebracht en worden Algemene IT Beheersmaatregelen (General IT Controls, GITC) getoetst. Dezelfde GITC dienen getoetst te worden voor wat betreft de IT componenten waarbinnen geautomatiseerde controles zijn geïdentificeerd. Deze gelden namelijk als rand voorwaardelijk voor een betrouwbare gegevensverwerking. Zie hierna illustratief hoe de scoping eruit zou kunnen zien voor een controle van het proces inkoopfactuurverwerking indien dit geautomatiseerd is.
Figuur 9: Scoping IT audit
Vanuit de praktijk is ook merkbaar dat IT een belangrijk speerpunt is binnen de controle. Het is vanuit meerdere overwegingen van belang om de automatiseringsomgeving te toetsen, waaronder:
32
https://www.nba.nl/HRAweb/HRA1A/201201/html/45767.htm
21
•
• • •
Fysieke brondocumentatie is niet beschikbaar waardoor ‘traditionele’ controles niet mogelijk zijn. Denk hierbij aan sterk geautomatiseerde bedrijfsmodellen (webshops e.d.); Verwerking van grote hoeveelheden data; Gebruik maken van informatie uit systemen (IPE); Het willen steunen op geautomatiseerde beheersmaatregelen.
Waarom/doel/opdrachtgever Voor een gemeente is de wettelijke controle wel verplicht. Maar daarmee is nog niet automatisch sprake van het uitvoeren van een IT-audit. Dit gebeurt zoals hierboven beschreven op basis van de risico inschatting van de accountant, ofwel Financieel Auditor. Hiermee is ook direct de opdrachtgever van de IT auditor benoemd. Dit betreft doorgaans de accountant die een beroep doet op de IT auditor teneinde specifieke kennis te verkrijgen. Het doel van de IT auditor is daarmee dan ook het in beoordelen van de geautomatiseerde controles en de kwaliteitsaspecten rondom de IT omgeving. Scoping Zoals beschreven is de scoping sterk afhankelijk van de risicoanalyse van de Financial Auditor. Voor specifieke risico’s gaat het om applicaties waarin een proces wordt beheerst dat is terug te redeneren naar materialiteit. Algemene IT beheersmaatregelen zijn per definitie van toepassing voor de applicaties waar gesteund wordt op geautomatiseerde controles. Maar ook zoals eerder beschreven voor bijvoorbeeld het schrijven van een automatiseringsparagraaf. Zoals inzichtelijk op Figuur 9 is het besturingssysteem een onderdeel van de IT omgeving waarvoor de GITC getoetst worden. Dit is veelal de eerste stap in het zogenaamde toegangspad richting primaire applicaties of data van een organisatie. Het besturingssysteem zal dus ook altijd onderdeel van de scope zijn. Welke applicatie, of welk proces zal sterk afhangen van de risicoanalyse. Desalniettemin kan beargumenteerd worden dat governance- of procedurele beheersmaatregelen gelijk zijn voor meerdere IT componenten. Denk aan een wijzigingsbeheerprocedure of een goedkeuringsproces voor het toekennen van nieuwe accounts danwel autorisaties. Deze behoren ook tot de algemene IT beheersmaatregelen. IT Component De IT component is te bepalen aan de hand van het eerder genoemde toegangspad tot de als kritiek aangemerkte applicatie/data. In het voorbeeld van de digitale inkoopfactuurverwerking betreft het de applicatie, het besturingssysteem, de database en de server. Samengevat betreft het Algemene IT Beheersmaatregelen voor de IT componenten en geautomatiseerde beheersmaatregelen voor specifieke processen. Diepgang (D&I/OE) In het kader van de jaarrekeningcontrole wordt altijd naar het boekjaar gekeken. De verklaring dient derhalve over een periode te gaan en derhalve dient ook de werking getoetst te worden (OE). Restricties Auditor Voor het aftekenen van de jaarrekening geldt strenge wet- en regelgeving. De accountant is ook verantwoordelijk voor de verklaring waar hij/zij zijn handtekening onder zet als Register Accountant (met verplichte AFM certificatie). Voor de IT audit in het kader van de
22
jaarrekeningcontrole gelden deze specifieke regels niet. De IT auditor wordt ‘ingehuurd’ vanwege zijn expertise, maar is niet eindverantwoordelijk voor de verklaring. Regelgeving op dit vlak is dan ook vooral een interne aangelegenheid voor de accountancykantoren. Frequentie Zie de hierboven beschreven criteria voor het moeten laten uitvoeren van een externe controle. Zolang aan deze criteria wordt voldaan dient jaarlijks een controle plaats te vinden. Of er ook jaarlijks een IT audit plaatsvindt, hangt wederom af van de risicoanalyse van de financieel auditor. Normen De normen voor de IT Audit gelden als best-practice en verschillen op details per accountantskantoor. In externe bijlage 5 hebben we best-practice GITC toegevoegd. Deze gelden als generiek voor ieder IT component, waar application controls een meer specifiek karakter hebben waarmee we aannemen dat deze zich niet lenen voor de doelstelling van dit onderzoek. Over het algemeen kunnen er drie belangrijke aandachtsgebieden worden geïdentificeerd binnen de algemene IT beheersmaatregelen: 1. Informatiebeveiliging (bijv: logische toegangsbeveiliging) 2. Wijzigingsbeheer (Impactanalyse/testen) 3. Continuïteit (back-ups & restore) Vastlegging/wijze van documenteren Hiervoor geldt dat dit sterk afhankelijk is van interne regelgeving en verslaglegging van de verschillende accountantskantoren. Link met Assurance De link met TPA wordt hier gemaakt richting de serviceproviders van een controleplichtige organisatie. De accountant maakt voor zijn controle bijvoorbeeld gebruik van een ISAE 3402 type II rapport voor serviceorganisaties. Kenmerkend hiervoor is dat de verklaring bij een dergelijk rapport wel door een IT auditor – Register EDP-Auditor - wordt afgegeven. Dit in tegenstelling tot de jaarrekening zelf waar de RA eindverantwoordelijk is. In het kader van de jaarrekeningcontrole verandert dit niets, aangezien de accountant nog altijd de verantwoordelijkheid behoudt om te toetsen of de ISAE alle geïdentificeerde risico’s afdekt. Desalniettemin is het prima mogelijk om ook zonder gebruik van een service provider door de controleplichtige organisatie een onafhankelijke TPA uit te voeren, bijvoorbeeld op de interne IT organisatie. Voor grotere organisaties zal dit voor kunnen komen, voor kleinere organisaties en gemeenten lijkt dit niet wenselijk. In geval van een Shared Service Center is het prima mogelijk. Kosten/Tijd De kosten en de tijd zijn zeer sterk afhankelijk van de risicoanalyse en de grootte en complexiteit van de gemeente. Eén belangrijke opmerking hierbij is dat de scope ook budget-gedreven kan zijn, omdat de IT-audit in veel gevallen onderdeel is van het gehele controlebudget.
2.6 BIG
BIG staat voor ‘Baseline Informatiebeveiliging Nederlandse Gemeenten’ 33 en is beschikbaar sinds mei 2013. Van de baseline zijn verschillende versies uitgebracht, namelijk een 33
http://wetten.overheid.nl/BWBR0033715/geldigheidsdatum_01-04-2014
23
Strategische en een Tactische baseline variant. Verder zijn er meerdere operationele BIG beschrijvingen uitgebracht welke gemeenten moet helpen bij het invoeren van de BIG. Hierbij valt onder andere te denken aan beschrijvingen rond risicomanagement, patchmanagement, cloud computing, toegangsbeleid en mobiele gegevensdragers. Minister Plasterk van het ministerie van BZK heeft in zijn visie ‘Digitale overheid 2017’ 34 aangekondigd dat de overheid in 2017 volledig digitaal zijn diensten moet kunnen aanbieden. Informatiebeveiliging is hierbij een belangrijk onderwerp, waar met behulp van de BIG een eerste invulling aan wordt gegeven op gemeentelijk niveau. Alle Nederlandse gemeenten hebben in november 2013 via de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ 35 van het VNG ingestemd om de BIG te implementeren binnen de gemeenten en om de BIG als basisnormenkader voor het gemeentelijk domein te erkennen. Het doel van de implementatie van de BIG is om de verschillende gemeenten op een zelfde wijze efficiënt te laten werken met informatiebeveiliging, de gemeente hierbij hulpmiddelen te geven, gemeenten een betrouwbare partner voor andere organisaties te laten zijn en om de auditlast binnen gemeenten te verminderen. Het verschil tussen de strategische versie en de tactische versie van de baseline is dat de strategische versie meer als overall kapstok kan worden gebruikt om de verschillende onderdelen van informatiebeveiliging aan op te hangen. De doelgroep van deze baseline bestaat dan ook vooral uit het college van Burgemeester en wethouders en de gemeentesecretarissen.
Figuur 10 Positionering Baselines
Terwijl de tactische versie van de baseline vooral gericht is op de rest van de gemeentelijke organisatie en in het bijzonder de IB functionarissen, fysieke beveiliging, beleidsmakers, lijnmanagers, personeelszaken, ICT-diensten en –infrastructuren, applicatie- en systeemeigenaren, informatiebeveiligingsadviseurs en ICT-auditors en externe leveranciers. De tactische baseline bestaat uit een totaalpakket van richtlijnen omtrent 34
http://www.rijksoverheid.nl/bestanden/documenten-enpublicaties/kamerstukken/2013/05/23/visiebrief-digitale-overheid-2017/visiebrief-digitale-overheid2017.pdf 35 http://www.vng.nl/files/vng/brieven/2013/attachments/20131031_resolutieinformatieveiligheid.pdf
24
informatiebeveiligingsnormen en -maatregelen die voor iedere gemeente noodzakelijk zijn om te implementeren. Het bevat ook specifieke maatregelen welke onderdeel zijn van andere normenkaders waaraan gemeenten moeten voldoen, zoals onder andere de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), Basisregistratie Personen (BRP) en de Basisregistratie Adressen en Gebouwen (BAG). Overeenkomst tussen de verschillende versies van de gemeentelijke baseline is dat alle versies zijn gebaseerd op de ISO 27001 en 27002 en in lijn zijn met andere baselines, zoals de Baseline Informatiebeveiliging voor het Rijk (BIR). Vooralsnog is er geen informatie beschikbaar over per wanneer de BIG daadwerkelijk verplicht is voor gemeenten en in welke vorm. Ook over de wijze van controle door een derde partij of door middel van zelf-evaluatie is nog geen informatie bekend. Vanuit het huidige perspectief en verdere decentralisatie van de Rijksoverheid naar gemeenten 36 lijkt het niet realistisch dat alle gemeenten in 2017 de BIG hebben geïmplementeerd binnen de organisatie. Audits op de wijze van implementatie zijn dan ook voorlopig nog uitgesloten.
36
http://www.rijksoverheid.nl/onderwerpen/gemeenten/decentralisatie-van-overheidstaken-naargemeenten
25
3. Overlap In hoofdstuk 2 zijn de verschillende audits aan de hand van tien aandachtspunten beschreven. Op basis van die tien aandachtspunten beschrijven we in dit hoofdstuk of overlap bestaat tussen de verschillende audits (paragraaf 3.1) en of dat de normen binnen de audits overlappen (paragraaf 3.2).
3.1 Overlap in audits Een inhoudelijke kijk op deze audits leidt tot de conclusie dat hierin veel overlap zit. Denk bijvoorbeeld aan algemene IT beheersmaatregelen op het vlak van informatiebeveiliging die van groot belang zijn binnen de eerder genoemde audits. Een in de praktijk vaak gehoorde opmerking tijdens audits is dat de opgevraagde informatie voor een voorgaande audit niet lang daarvoor ook al is opgevraagd. Vaak in een net iets andere vorm, wat kan leiden tot miscommunicatie en vaak ook onbegrip ten aanzien van de noodzaak van het herhaaldelijk opvragen van vergelijkbare informatie. Vanuit de gedachte ‘single information, single audit’ moet eigenlijk eerst worden stilgestaan bij ‘Single control’. De standaardisatie op dit vlak, of bundeling van dergelijke audits zou mogelijk kunnen leiden tot kostenreductie én kwaliteitsvoordeel. In bijlage 1 is een tabel opgenomen waarin de eerder beschreven kenmerken van de verschillende audits zijn samengevat. Middels deze tabel is overlap geïdentificeerd op de aandachtspunten. Per aandachtspunt wordt verder in deze paragraaf beschreven of een overlap geïdentificeerd kan worden en voor welke audits die overlap van toepassing is. Waarom/doel/opdrachtgever Voor vier van de vijf behandelde audits is de overheid de opdrachtgever voor de IT audit. Ultimo geldt dit ook voor de jaarrekening. Het betreft wel voor iedere audit een andere overheidsorgaan welk de verantwoordelijkheid voor toezicht op de audit draagt. Hiermee is dus niet direct een concrete overlap te identificeren. Scoping Voor dit aandachtsgebied geldt dat de scope significant verschilt voor de verschillende audits. Enkel de BIG is generiek zonder specifieke scope en is daarmee het meest toepasbaar op andere audits. Voor de overige vijf audits is de scope specifiek, en is geen directe overlap te identificeren. IT Component Hier is een overlap aan te wijzen. Voor alle audits zijn in meer of mindere mate algemene IT beheersmaatregelen van toepassing. Echter, ook hier geldt dat het specifieke component per audit kan afwijken. Wel kan beargumenteerd worden dat die GITC rondom het besturingssysteem bij alle audits in scope zijn. De BRP en de BAG zijn hierop de uitzondering want die zijn enkel gericht op de specifieke applicatie. Maar ook in dat geval kunnen we redeneren dat het toegangspad tot die applicaties via het besturingssysteem loopt en dus van belang is.
26
Diepgang (D&I/OE) Voor een drietal audits wordt D&I als norm gevraagd, voor de andere drie dient ook de werking getoetst te worden. Op dit vlak is het bundelen, overlappen van audits mogelijk, omdat door het toetsen van OE altijd wordt voldaan aan de eis voor D&I. Restricties Auditor Enkel voor de Suwinet audit en de DigiD audit wordt de Register EDP (RE) auditor aangedragen. Voor de overige audits betreft het een self-assessment, is de invulling nagenoeg vrij of dient men geaccrediteerd te zijn. Een RE met de juiste BAG accreditatie zou alle audits binnen onze scope mogen uitvoeren. Frequentie De BAG audit kent een 3-jaarlijkse frequentie. De overige audits in scope kennen een jaarlijkse frequentie. Normen Een inhoudelijke overlap van de normen wordt in de volgende paragraaf separaat behandeld. Hierin wordt onderzocht in hoeverre overlap geïdentificeerd kan worden in de voorgeschreven normen voor de audits. Vastlegging/wijze van documenteren Waar vier van de vijf in-scope zijnde audits een voorgeschreven standaard hebben, voor het geheel dan wel de rapportage, betreft dit wel voor alle vier een andere standaard. Enige overlap op dit vlak is dus niet mogelijk op basis van de bestaande standaarden. Richtlijn 3000 van NOREA wordt hier wel voor meerdere audits aangedragen als richtlijn. Link met Assurance Zoals eerder beschreven wordt voor jaarrekeningdoeleinden en DigiD al gebruik gemaakt van TPA’s. Bijvoorbeeld bij een serviceprovider (ISAE3402) of in het geval van een hostingpartij voor DigiD (TPA). Het is mogelijk om de verschillende audits in TPA vorm uit te voeren, omdat het een set normen betreft die getoetst kunnen worden door een onafhankelijke partij. Hoewel dit niet zou gelden voor de BRP – zijnde een self-assessment – is het prima mogelijk om een TPA als basis te gebruiken voor het beantwoorden van de digitale vragenlijst. Kosten/Tijd Een overlap op het vlak van kosten/tijd is niet te beschrijven. Dit aandachtspunt kan slechts gelden als winstpunt voor het bundelen van audits en zal als dusdanig meegenomen worden in de case-study en de conclusie. Het spreekt voor zich dat een bundeling op de voorgaande aandachtspunten zou kunnen leiden tot een afname in kosten c.q. tijd.
3.2 Overlap in normen Om uiteindelijk te komen tot het analyseren van overlap in normen hebben we de normenkaders van de vijf audits geanalyseerd en in eerste instanties de normen op een hoger niveau geaggregeerd per aandachtsgebied. Dit leidt tot een vijftal tabellen met de domeinen die voorkomen per audit. In de tweede en derde kolom van die tabellen is vermeld of het specifieke of generieke normen binnen het domein betreft. In het geval van specifieke normen betreft het beheersmaatregelen die gericht zijn op unieke zaken die enkel voor de betreffende audit van toepassing zijn. Generieke beheersmaatregelen betreft veelal Algemene IT Beheersmaatregelen. In de
27
situatie waarvoor beide antwoorden mogelijk zijn – generieke normen met een specifieke scoping bijvoorbeeld – wordt deze geclassificeerd als generiek. In de kolom “definitie” is voor de domeinen die als generiek zijn geclassificeerd een generieke definitie toegewezen waaronder het domein geschaard kan worden.
BAG Domein Verificatiepunten bestandscontroles
Generiek
Specifiek
Verificatiepunten steekproef registratie en register Verificatiepunten controle inbedding processen Verificatiepunten controle werking processen
Verificatiepunten BAG conforme applicatie
Verificatiepunten continuïteit systeem (uitwijk) Verificatiepunten continuïteit systeem (backup en herstel) Aantal (totaal 7)
BIG Domein
Continuïteitbeheer
Continuïteitbeheer
2
5
De normen van de BAG zijn voornamelijk als specifiek te classificeren. Het betreft veelal normen met een inhoudelijk karakter. Bijvoorbeeld of de juistheid van bepaalde mutaties toetsbaar is. De als generiek geclassificeerde normen hebben betrekking op back-ups en uitwijk en zijn derhalve geclassificeerd als continuïteitsbeheer.
Suwinet Domein Beveiligingsbeleid en beveiligingsplan
Generiek
Specifiek
Definitie Informatiebeveiliging
Organisatorische aspecten
Organisatorische aspecten
Architectuur / Standaarden
Architectuur/ Standaarden
Dienstenniveau Beheer
SLA Management
Capaciteitsbeheer
Capaciteitsbeheer
Continuïteitsbeheer
Continuïteitbeheer
Configuratiebeheer
Configuratiebeheer
Incidentbeheer Probleembeheer Wijzigingsbeheer Testen Netwerkbeheer Logische toegangsbeveiliging
Incidentbeheer Probleembeheer Wijzigingsbeheer Wijzigingsbeheer Netwerkbeheer Logische
28
Domein
Generiek
Fysieke beveiliging Suwinet-Inkijk
Suwinet-Inlezen
Suwinet-Meldingen
Suwinet-Mail
Toegangsbeveiligingspakket
Server Netwerk Koppelingen / koppelpunten
Aantal (totaal 22)
22
Specifiek
Definitie toegangsbeveiliging Fysieke beveiliging Batchverwerking/ interfaces Batchverwerking/ interfaces Batchverwerking/ interfaces Batchverwerking/ interfaces Logische toegangsbeveiliging Hardening Netwerkbeheer Batchverwerking/ interfaces
0
Suwinet kent een zeer uitgebreid normenkader dat ontleent is aan de ISO 27001. Derhalve bevat dit merendeels generieke normen. Een viertal domeinen is als specifiek omschreven (Suwi-inkijk etc.), deze hebben specifiek betrekking op een viertal Suwinet functionaliteiten. Echter, een inhoudelijke kijk op deze normen (zie bijlage 3) leert dat deze vooral qua scoping een specifiek karakter hebben. Qua vraagstelling en kwaliteitsaspecten komen deze overeen met normen als batchverwerking, interfaces en de architectuur. Derhalve hebben we deze als generiek geclassificeerd.
BRP Domein Beleid en regelgeving Het definiëren van doelen, normen, verantwoordelijkheden en termijnen Beleid en regelgeving Basisregistratie Personen Beleid en regelgeving Waarborgen voor onafhankelijkheid beveiligingsfunctie Beleid en regelgeving Besluitvorming en vervolgacties Beleid en regelgeving Schriftelijke procedures Beleid en regelgeving Waarborgen voor actualiteit procedures Beleid en regelgeving Brondocumenten Processen Foutmeldingen Processen Bewaken integriteit Processen -
Generiek
Specifiek
Definitie
29
Domein Bijhoudingsprocedures Processen Verstrekken Processen Onderzoeken Processen Inzage Processen Verstrekkingsbeperking Processen Protocolleren Processen Brondocumenten Gegevens De toegang tot gegevens Gegevens Het zeker stellen van gegevens Gegevens Bewerker Gegevens Brondocumenten Personeel De toekenning van bevoegdheden Personeel Beveiligingscompetenties Personeel Waarborgen van geheimhouding Personeel Optimaliseren van risicobewustzijn Personeel Vaststellen minimale kennis en vaardigheden Personeel Toetsen op behoud kennis en vaardigheden Personeel Toetsen op juiste uitvoering van taken Fysieke beveiliging Planmatig beheersen van risico's Fysieke beveiliging Incidentmeldingen Calamiteiten Planmatig beheersen van risico's Calamiteiten Incidentmeldingen Calamiteiten Fysieke uitwijk Calamiteiten Brondocumenten Naleving Voldoen aan wettelijke verplichtingen
Generiek
Specifiek
Definitie
Logische toegangsbeveiliging Continuïteitsbeheer
Fysieke beveiliging
Fysieke beveiliging
Incidentbeheer
Continuïteitsbeheer
30
Domein Naleving Opvolging van controleactiviteiten Aantal (totaal 35)
Generiek
Specifiek
Definitie
6
29
De normen voor de vragenlijst van BRP kennen een andere indeling dan de andere normenkaders. Hiervoor worden zeven hoofdonderwerpen benoemd en daaronder hangen de domeinen. Hiervan zijn zes domeinen als generiek geclassificeerd, met betrekking op logische- en fysieke toegangsbeveiliging en incident- en continuïteitsbeheer.
Jaarrekening Domein Beveiligingsbeleid en beveiligingsplan
Generiek
Specifiek
Definitie Informatiebeveiliging
Continuïteitsbeheer
Continuïteitsbeheer
Wijzigingsbeheer
Wijzigingsbeheer
Logische toegangsbeveiliging
Logische toegangsbeveiliging
Fysieke beveiliging
Fysieke beveiliging
Batchverwerking/interfaces
Batchverwerking/inter faces
Aantal (totaal 6)
6
0
Typisch wordt voor een IT audit in het kader van de jaarrekeningcontrole een normenkader gehanteerd met enkel generieke algemene IT beheersmaatregelen. Wel is er een altijd wijzigende scope, bijvoorbeeld afhankelijk van de risicoanalyse door de accountant. De normen zelf zijn echter generiek.
DigiD Domein Algemene Maatregelen (B0-5 t/m B0-14)
Generiek
Netwerkbeveiliging (B1-1 t/m B1-3)
Definitie Logische toegangsbeveiliging Wijzigingsbeheer Hardening SLA-management Organisatorische aspecten Netwerkbeheer
Platformbeveiliging (B2-1)
Netwerkbeheer
Applicatiebeveiliging (B3-1 t/m B3-16) Vertrouwelijkheid en onweerlegbaarheid (B5-1 t/m B5-4) Monitoring, auditing en alerting (B7-1 t/m B79) Aantal (totaal 6)
Specifiek
Hardening
Informatiebeveiliging
5
1
31
Voor DigiD geldt ook dat de scoping de richting bepaalt. Echter, binnen die scoping kunnen nog verschillende applicaties en/of systemen van toepassing zijn. De normen zijn dan ook generiek, met uitzondering van de applicatiebeveiliging normen, die zich zeer specifiek op de applicatie richten en ook een meer ontwikkelkarakter kennen. Deze normen worden doorgaans getoetst door de software-ontwikkelaar voor de DigiD applicatie (content management systeem). In de meeste gevallen behoort dit domein niet tot de scope van het onderdeel van het assessment dat binnen de gemeente plaatsvindt.
Overlap generieke domeinen Op basis van bovenstaande tabellen hebben we in een matrix aangegeven voor welke audits de domeinen - zoals benoemd in de vierde kolom van de tabellen - van toepassing zijn. Zie bijlage 2 voor deze matrix, die uitwijst dat geen enkel domein voorkomt bij alle vijf de audits. Hieronder staat de top vijf opgesomd van de domeinen die het vaakst voorkomen. Tussen haakjes is vermeld bij hoeveel van de 5 audits dit domein van toepassing is. • • • • •
Continuïteitsbeheer (4) Logische toegangsbeveiliging (4) Fysieke beveiliging (3) Informatiebeveiligingsbeleid (3) Wijzigingsbeheer (3)
In de laatste kolom van de matrix is aangegeven of de generieke domeinen ook voorkomen in de BIG. In externe bijlage 6 is een overzicht van de domeinen uit de BIG opgenomen. Uit de matrix blijkt dat alle generieke domeinen, ook opgenomen zijn in de BIG.
32
4. Assurance Vanuit de vergelijking die is gedaan op de verschillende audits, wordt gekeken of het mogelijk is om bepaalde onderdelen van de audits bij gemeenten samen te voegen tot één audit. In een dergelijke situatie wordt over de werkzaamheden één audit rapportage afgegeven, waarvoor verschillende vormen van assurance mogelijk zijn. Om de definitie van assurance goed te kunnen beschrijven is allereerst belangrijk om duidelijk te hebben wat het betekent. Volgens Van Dale 37 moet assurance vertaald worden als zekerheid, vertrouwen en heeft het te maken met verzekering, belofte en garantie. Vanuit deze vertaling gaat het in deze context voornamelijk om zekerheid, waarbij de waarborg wordt afgegeven over de mate waarin een bepaald proces of inrichting adequaat is ingericht. Wanneer er in de context van audits bij gemeenten of het mogelijk samenvoegen ervan, wordt gesproken over assurance dan gaat het over dat assurance wordt geboden door middel van een audit rapport waarin conclusies en/of bevindingen staan vermeld welke naar voren zijn gekomen aan de hand van een audit. Uitgaande van de betekenis zoals Van Dale deze beschrijft, biedt een dergelijk audit rapport de zekerheid, als in waarborg, dat de resultaten van de audit, zoals weergegeven in het rapport, een correcte weergave is van de daadwerkelijke situatie. Het rapport is een schriftelijke verklaring van de uitvoerder aan de gebruiker Hierdoor hoeft de gebruiker niet dezelfde controle te doen, maar mag vertrouwen op de uitkomsten in het rapport. Wanneer een audit wordt uitgevoerd op verzoek van een opdrachtgever voor dezelfde opdrachtgever, dan zijn er twee partijen betrokken. Wanneer er een audit wordt uitgevoerd op verzoek van een opdrachtgever voor iemand anders (bijvoorbeeld belanghebbende overheden en/of klanten), dan spreekt men van Third Party Assurance (TPA), oftewel een derde partij mededeling. In een dergelijk geval zijn er drie partijen betrokken, namelijk • • •
De beroepsbeoefenaar De verantwoordelijke partij De beoogde gebruiker
Volgens het NOREA raamwerk voor assurance opdrachten door IT Auditors is de beroepsbeoefenaar in deze context een onafhankelijk IT-auditor welke kan worden gevraagd assurance opdrachten uit te voeren op een breed scala van onderwerpen. De verantwoordelijke partij degene die: a. in een direct reporting-opdracht verantwoordelijk is voor het object van onderzoek b. in een assertion based-opdracht verantwoordelijk is voor de informatie omtrent het object van onderzoek (de bewering) en verantwoordelijk kan zijn voor het object van onderzoek. Daarnaast kan de verantwoordelijk partij ook degene zijn die optreedt als opdrachtgever. 37
http://www.vandale.nl/
33
De beoogde gebruiker is de persoon of de groep van personen voor wie de beroepsbeoefenaar het assurance rapport maakt. De verantwoordelijke partij kan ook een beoogd gebruiker zijn, maar ook andere stakeholders kunnen beoogd gebruiker zijn. Er zijn verschillende soorten assurance rapporten welke in verschillende situaties kunnen worden toegepast, deze type rapporten zijn gebaseerd op Nederlandse (bv NOREA) of internationale (bv ISAE) standaarden: • •
NOREA / ISAE richtlijn 3000 NOREA / ISAE richtlijn 3402
Hierbij is de 3402 richtlijn gericht bedoeld om uiteindelijk te rapporteren over bepaalde processen welke invloed hebben op de financiële administratie. De 3000 richtlijn daar in tegen is opener qua doel en kan ook voor andere processen worden gebruikt. Om rapportage te kunnen verstrekken over de verschillende audits bij gemeenten, dient derhalve gebruik te worden gemaakt van de 3000 richtlijn, aangezien het niet alleen betrekking heeft op de financiële processen, zoals in scope bij de jaarrekening audit. Een onafhankelijke certificerende instantie kan een goedkeurende verklaring geven dat de processen in een organisatie voldoen aan vooraf opgestelde criteria. We noemen dit een TPM of Third Party mededeling.
34
5. Conclusie In dit hoofdstuk presenteren we onze conclusies naar aanleiding van de hoofdstukken 2 tot en met 4. Verder werken we naar een antwoord toe op de probleemstelling van dit onderzoek, hieronder nogmaals beschreven: Hoe kunnen de IT componenten van verschillende audits gericht op gemeenten gebundeld worden in één assurance opdracht?
5.1 Probleemstelling: bundelen of vervangen? In de inleiding hebben we de volgende deelvragen geformuleerd teneinde een antwoord op de probleemstelling te kunnen geven. Deze deelvragen worden verder in dit hoofdstuk uitgewerkt. 1. Welke audits worden voor gemeenten verplicht gesteld en wat zijn de karakteristieken? 2. Op welke wijze is controle van IT-beheersmaatregelen onderdeel van de betreffende audits? 3. Aan welke criteria dient de controle van IT-beheersmaatregelen binnen de audits te voldoen? 4. Welke overlap is aanwezig in deze audits op het gebied van IT-beheersmaatregelen? 5. Wat is een assurance-opdracht en kan deze binnen dit kader worden gehanteerd? Welke audits zijn verplicht voor gemeenten? Ten aanzien van de audits die voor gemeenten verplicht worden gesteld kan een lange lijst worden opgesteld. De opdrachtgever is in de meeste gevallen de overheid of een aan de overheid gelieerde instantie. Denk hierbij bijvoorbeeld aan Logius voor het DigiD assessment en BKWI voor de Suwinet-audit. De verscheidenheid aan audits is groot, maar de audits in scope van het onderzoek bevatten allen een IT onderdeel. Omdat we ons specifiek richten op een bundeling van de IT onderdelen hebben we ons gericht op tien karakteristieken die voor de betreffende IT audits van belang zijn. Deze karakteristieken, of aandachtspunten, zijn van belang bij de aanname van een IT audit opdracht en geven een goed handvat bij het bepalen van de aanpak voor een audit. Verderop in dit hoofdstuk geven we in meer detail de conclusies naar aanleiding van de analyse op die aandachtspunten. Het is van belang om op te merken dat ons onderzoek en daarmee deze conclusie zich nadrukkelijk richt op het IT onderdeel van de verschillende audits. Voor een jaarrekeningcontrole bijvoorbeeld betekent dit dat een groot gedeelte van de controle niet binnen de scope van dit onderzoek valt. We doen dan ook geen uitspraken over een mogelijke bundeling op een ander vlak dan het IT onderdeel en ook geen uitspraak over een dergelijke audit in totaal. Het is tevens van belang om op te merken dat, omdat het IT onderdeel in sommige gevallen ‘slechts’ een onderdeel is van de audit, er voor de gehele audit verschillende uitvoerders betrokken kunnen zijn. Denk aan de accountant bij de jaarrekeningcontrole en een IT auditor (RE) voor het DigiD assessment. Dit heeft een implicatie voor de probleemstelling (bundelen van de IT audit) omdat het uitgangspunt daarbij is, één audit voor de verschillende IT onderdelen van de audits. Wanneer de verschillende IT onderdelen in één audit worden uitgevoerd is minimaal de RE titel vereist, aangezien dit een vereiste is bij, in ieder geval, het DigiD assessment.
35
Controle van IT beheersmaatregelen en criteria De vergelijking op de tien aandachtspunten geeft weer dat het IT onderdeel van de audits veel gelijkenis vertonen. Op punten als frequentie, diepgang, vastlegging, criteria voor de auditor en de relatie met (IT) assurance komen de audits veelal overeen. Op het laatste vlak worden tevens de NOREA richtlijnen ten aanzien van het afgeven van assurance aangehaald bij verschillende audits. Het blijkt daarnaast dat de aard van de beheersmaatregelen te classificeren is als generiek of specifiek. Enerzijds betreft het de generieke algemene IT beheersmaatregelen, anderzijds betreft het specifieke application controls of beheersmaatregelen die specifiek gericht zijn op de beheersing van IT componenten binnen het auditonderwerp (bijv: BAG applicatie). De algemene IT beheersmaatregelen zijn gericht op continuïteitsbeheer en logische toegangsbeveiliging (beide van toepassing voor vier van de vijf geanalyseerde audits) en fysieke beveiliging, informatiebeveiligingsbeleid en wijzigingsbeheer (van toepassing op drie van de vijf geanalyseerde audits). Verderop worden de conclusies op basis van de aandachtspunten verder beschreven. Voor wat betreft het bepalen van overlap zijn de normen binnen een audit van groot belang. Deze normen hebben we voor het onderzoek onderverdeeld in specifieke en generieke normen. Zoals hierboven reeds genoemd blijkt dan dat enkele domeinen in het merendeel van de audits terugkomt. Wanneer de BIG ook betrokken wordt in deze analyse blijkt dat deze alle generieke normen bevat die benoemd zijn in de andere vijf audits. Ten aanzien van de BAG en BRP beargumenteren we dat deze te specifiek van aard zijn om mee te nemen in een bundeling van audits. De voornaamste reden hiervoor is het normenkader voor deze audits vooral gericht is op inhoudelijke zaken gerelateerd aan de betreffende basisadministraties. Daarnaast is BRP een self-assessment waardoor de gemeente niet afhankelijk is van een auditor, maar dit zelf kan beantwoorden. Deze argumenten zijn de hoofdredenen om voor een conclusie op het vlak van bundelen van audits deze twee audits buiten beschouwing te laten De volgende paragrafen geven onze detailconclusies weer naar aanleiding van bovenstaande en de analyse in hoofdstukken 2, 3 en 4. We beschrijven op welke wijze de IT audit jaarrekeningcontrole, het DigiD assessment en de Suwinet audit gebundeld kunnen worden in één IT audit, of op termijn als geheel vervangen kunnen worden door een overkoepelende BIG audit.
5.2 Bundelen of BIG overkoepelen We concluderen dat de generieke normen van de Suwinet audit, de IT-audit in het kader van de jaarrekening en het DigiD assessment in de basis het beste op elkaar aansluiten qua aandachtsgebieden. In bepaalde gevallen kan de formulering verschillen maar de beheersdoelstellingen komen overeen. Verder concluderen we dat dit ook geldt voor de Baseline Informatiebeveiliging Gemeenten, aangezien deze alle domeinen bevat die ook in de andere audits zijn opgenomen. Hiermee beargumenteren we dat voor de drie resterende audits een bundeling mogelijk is en/of dat de BIG daarin een overlappende en eventueel vervangende rol kan vervullen. Een beperking voor deze conclusie is dat op het moment van schrijven nog weinig informatie bekend is over de vorm waarin de BIG verplicht gesteld of getoetst zal gaan worden. Voor dit onderzoek was dan ook onvoldoende informatie beschikbaar met betrekking tot de BIG om
36
de tien aandachtspunten, zoals beschreven in hoofdstuk 2, uit te werken. De redenen en het te hanteren kader zijn duidelijk, maar in welke vorm en met welke frequentie dit getoetst zal gaan worden en of dit een specifieke scope toegewezen krijgt is nog niet bekend. In de baseline staat wel beschreven dat deze nauw verwant is aan de geldende audits voor gemeenten en daarmee een stap in de richting van single information single audit (SiSa) is als gewenst door het ministerie van binnenlandse zaken en koninkrijksrelaties. Enerzijds lijkt ‘BIG als vervangend’ als conclusie nog te vroeg te komen gezien de beschikbare informatie. Ten aanzien van de aandachtspunten zoals scoping, frequentie, vastlegging is simpelweg te weinig informatie beschikbaar om een verdere conclusie te trekken over de mogelijkheden. Anderzijds, is de overlap op de normen een zeer goed startpunt om een mogelijk vervangende rol van de BIG mogelijk te maken. Daarom is bovenstaande conclusie van belang, om in de verdere ontwikkeling van de BIG en de invulling van de audit hieromtrent, rekening te houden met een mogelijke vervangende rol ten opzichte van reeds geldende audits voor gemeenten, of in ieder geval het IT deel hiervan. Hierna zullen we een bundeling van de drie audits beschrijven, los van de BIG als overkoepelende audit.
5.3 Scoping Suwinet, Jaarrekening, DigiD Wanneer we het hebben over de bundeling van de drie audits (Suwinet, IT audit Jaarrekening, DigiD), hebben we gekeken naar de geanalyseerde aandachtspunten voor overeenkomsten en verschillen. Zoals hiervoor beschreven zijn de normen hierin van het grootste belang, maar ook de andere aandachtspunten kunnen bepalend zijn in de mogelijkheid om te bundelen. Iedere audit in het onderzoek kent zijn eigen scoping met in sommige gevallen zeer specifieke IT componenten. Denk bijvoorbeeld aan het Suwinet koppelvlak en algemene IT beheersmaatregelen rondom de applicatie die uit de risicoanalyse van de accountant is voortgekomen voor de jaarrekening IT audit. Dit zijn objecten van onderzoek die enerzijds zeker in de scoping opgenomen dienen te worden, maar anderzijds niet gelijk zijn aan objecten uit de andere audits. De scoping generaliseren voor het uitvoeren van één audit zal dan ook niet mogelijk zijn. De generieke normen daarentegen, die getoetst dienen te worden op die specifieke scoping zijn wel gelijk. Dit leidt tot de mogelijkheid om voor een proces dat generiek is ingericht over verschillende IT componenten de objecten van onderzoek te beschouwen als één populatie. Denk hierbij bijvoorbeeld aan een generieke autorisatieprocedure voor nieuwe accounts. Als deze gelijk is voor zowel de DigiD applicatie als het Windows platform voor de jaarrekeningaudit, kunnen de beide populaties samen als één populatie beschouwd worden voor de steekproefstrategie. Desalniettemin, zullen bepaalde normen toch voor verschillende scopes getoetst dienen te worden. Hieronder hebben we schematisch weergegeven welke scope van de Suwinet audit, de IT audit jaarrekening en het DigiD assessment wel of geen onderdeel zouden zijn van een gebundelde audit qua scoping. Overigens is dit niet anders in het geval wanneer de BIG als vervangend wordt gehanteerd.
37
Onderdeel van gebundelde audit Jaarrekening
Scoping
DigiD
Governance normen Infrastructuur normen (indien intern gehosted)
Application controls met betrekking tot de webapplicatie
Suwinet-audit
Volledig
geen
GITC van OS (bijv. Windows) GITC van financieel pakket inclusief DB en DB-server.
Aanvullend specifiek te toetsen Application controls
Voor DigiD zal het ook van belang zijn om de IT omgeving goed af te kaderen op verantwoordelijkheden (intern of extern belegd). Zoals beschreven in paragraaf 2.4 bestaat het assessment uit drie onderdelen, te weten governance, infrastructuur en de applicatie. Doordat de gemeenten niet zelf de applicaties ontwikkelen, heeft men voornamelijk te maken met de governance normen en waar men de hosting intern verzorgt ook met de infrastructuur normen. Dit betreffen ook de normen die als generiek zijn aangemerkt. Voor de overgebleven applicatie normen wordt in de meeste gevallen een TPM afgegeven door de partij die de software ontwikkeld heeft.
5.4 Diepgang en frequentie Op de aandachtspunten ‘diepgang’ en ‘frequentie’ is enkel op diepgang een afwijking geïdentificeerd voor het DigiD Assessment. Deze heeft een diepgang die afwijkt van de andere audits, omdat deze enkel in opzet en bestaan (‘D&I’) getoetst hoeft te worden. Echter, met een werking (‘OE’) diepgang over een bepaalde periode (boekjaar) wordt ook voor de DigiD voldoende getoetst en bij het bepalen van steekproefgroottes kan deze overweging meegenomen worden. Overigens is de verwachting dat op termijn ook de werking van belang zal worden voor het DigiD assessment. Alle drie de audits kennen een jaarlijkse frequentie, wat geen belemmering is voor het bundelen van de audits.
5.5 Politiek bij opdrachtgevers en belanghebbenden Hoewel de opdrachtgever in alle gevallen is terug te voeren naar de overheid, zijn er toch verschillende instanties die de verantwoordelijkheid dragen over de uit te voeren audits (Logius, BKWI). Daarnaast spelen brancheorganisaties een rol, zoals de samenwerking van KING en VNG in de IBD (informatiebeveiligingsdienst) of het NCSC (Nationaal Cyber Security Centrum). Het bundelen van audits heeft dus ook een weerslag op de werkwijze en het mandaat van deze verschillende instanties. Dit zal, zo verwachten wij, de nodige politieke weerstand tot gevolg hebben wanneer we concluderen dat deze audits gebundeld kunnen worden of op termijn zelfs vervangen door de BIG. Derhalve is het van groot belang om deze instanties in een vroeg stadium te betrekken bij de bundeling van audits.
5.6 Geen restricties voor Register EDP auditors De vergelijking tussen de verschillende audits wijst uit dat er geen restricties zijn voor het uitvoeren van de IT audits door Register EDP-auditors met uitzondering van de BAG audit.
38
Hiervoor dient men over een separate BAG accreditatie te beschikken. Een RE titel is overigens geen vereiste noch een beperking voor de uitvoering van BAG en de jaarrekening. Voor BRP kan geconcludeerd worden dat in het geheel geen eisen worden gesteld aan de auditor. Dit betreft namelijk een self-assessment en hoeft daarmee dus niet noodzakelijk door een onafhankelijke partij uitgevoerd te worden. Neemt niet weg dat het wel in auditvorm uitgevoerd zou kunnen worden door een IT auditor als input voor de gemeente bij het self-assessment. Er zijn in het onderzoek geen argumenten naar voren gekomen waarom een RE de onderzochte IT-audits niet zou kunnen uitvoeren. Wat wel een aandachtspunt is bij de uitvoering van de audits is dat gemeenten te maken hebben met verschillende opdrachtnemers. Zo hebben ze een extern accountant die de jaarrekening zal controleren, maar dat wil niet automatisch zeggen dat deze ook het DigiD assessment of de Suwinet audit uitvoert. Een bundeling van de IT audits zou ertoe kunnen leiden dat deze wordt uitgevoerd door een IT auditor die niet behoord tot het accountantsteam. Toch is de accountant voor een gedeelte afhankelijk van de resultaten uit de gebundelde IT audit. Dit maakt de wijze van documentatie en gebruik van de correcte richtlijnen zeer belangrijk.
5.7 Assurance richtlijn 3000 De uitkomsten van een gebundelde IT audit dienen te worden gerapporteerd conform beschikbare standaarden. We concluderen dat een geschikte standaard de 3000-richtlijn conform NOREA (of ISAE) betreft. In de rapportage volgens deze standaarden kan per norm een conclusie worden gegeven. Dit laatste is in de huidige situatie reeds het geval voor het DigiD assessment. Dit kan doorgetrokken worden voor Suwinet audit en de Jaarrekening IT Audit, zodat aan de eisen van alle audits, inclusief de DigiD, kan worden voldaan. Een overkoepelend oordeel is daarmee niet noodzakelijk en biedt meer mogelijkheden binnen de gegeven kaders. Op deze wijze is voor de ontvangende partijen duidelijk welke normen zijn getest en wat de bijbehorende conclusies zijn. Het bepalen van de impact van eventuele bevindingen op bijvoorbeeld de Jaarrekeningcontrole is daarmee eenvoudiger en bovendien uit te voeren door de accountant zelf. Deze is namelijk niet meer afhankelijk van de totaalconclusie zonder inzicht te verkrijgen in de uitkomsten per norm. Bijkomend voordeel voor gemeenten is dat de formulering van de normen generiek is en dus zou het begrip rondom de normen stijgen ten opzichte van de situatie waar iedere audit zijn eigen formulering per norm kent. Dit zal naar verwachting ook een bijdrage leveren aan de mate waarin een gemeente in staat is om bepaalde documentatie op te leveren en/of te gebruiken voor interne controle doeleinden, leidende tot een hogere mate van efficiëntie.
5.8 Kosten en tijd Ten aanzien van kosten en tijd is nagenoeg geen informatie te vinden in de documentatie welke door de toezichthoudende organen is verstrekt. Voor het uit laten voeren van audits komen de kosten voor rekening van de audittees. Met de conclusie dat er overlap aanwezig is tussen verschillen audits op het vlak van normen, is de logische gedachte dat voor één norm, meermaals per jaar wordt betaald door de gemeenten. Dat een besparing in tijd en kosten gerealiseerd wordt bij het eenmaal toetsen van een norm in plaats van meerdere malen spreekt voor zich. De werkelijke besparing is sterk afhankelijk van de organisatie. Zo speelt het applicatielandschap en de governance een belangrijke rol. Zoals al eerder
39
beschreven kunnen bij gelijke procedures ook populaties van meerdere applicaties samen worden genomen.
5.9 Schaalvoordeel in geval van Shared Service Centers Een toevoeging aan de gehele doelstelling van het onderzoek betreft gemeenten die hun diensten onder hebben gebracht in een Shared Service Center. Logisch redenerend zou het mogelijk zijn om bij een SSC waar een X aantal gemeenten hun diensten heeft ondergebracht een zelfde audit ook X aantal keer wordt uitgevoerd. Dus drie audits maal zes gemeenten zou betekenen dat een SSC achttien keer de auditor over de vloer krijgt. In dit geval zou een significante efficiëntieslag gemaakt kunnen worden als het aantal audits van achttien teruggebracht kan worden naar zes, namelijk één IT audit voor iedere gemeente. Een nog verdere bundeling zou ontstaan wanneer bij gemeenten onderling overlap is te identificeren in het IT landschap en IT beleid. Dan kan het aantal van zes audits nog verder omlaag gebracht worden. Dit is bijvoorbeeld mogelijk wanneer meerdere gemeenten gebruik maken van één applicatie voor de financiële administratie. Wederom zullen scoping en steekproefstrategie een sleutelrol spelen in het bepalen van de haalbaarheid van een dergelijke audit. Onze conclusies in de voorgaande paragrafen gelden ook voor uitvoering bij een SSC, met daarbij dus de kanttekening dat een verdere optimalisatie mogelijk is door niet alleen enkele audits te bundelen maar ook de gemeenten onderling wanneer de inrichting zich hiervoor leent.
5.10 Beantwoording probleemstelling In het beantwoorden van de probleemstelling, hoe IT componenten van verschillende audits gericht op gemeenten gebundeld kunnen worden, concluderen we het volgende op basis van de voorgaande paragrafen: Het is mogelijk om IT componenten van de IT Audit jaarrekening, het DigiD assessment en de Suwinet audit te bundelen in één IT audit. Deze IT audit dient vorm te krijgen volgens de NOREA Richtlijn Assurance-opdrachten door IT-auditors (3000) met een jaarlijkse frequentie en een ‘werking’ diepgang over het boekjaar van de gemeente. Het normenkader dient de generieke algemene IT beheersmaatregelen te bevatten die voorkomen in alle drie de audits. Daarnaast dient voor de specifieke normen een afzonderlijke auditaanpak bepaald te worden. In plaats van een overkoepelende conclusie dient een conclusie per norm gegeven te worden, zodat aan de eisen van de drie audits wordt voldaan en het voor stakeholders beter inzichtelijk is welke excepties zijn geconstateerd. De uitvoering van een dergelijk IT audit dient te geschieden door een Register EDP-auditor. Op de langere termijn zou de BIG een overkoepelende c.q. vervangende rol kunnen gaan innemen. Dit is vooral van belang bij de verdere ontwikkeling van de BIG als verplichte audit voor de toekomst. In het volgende hoofdstuk, zullen we deze conclusie voorleggen aan gemeenten en belanghebbenden ter reflectie.
40
6. Reflectie De voorgaande conclusies zijn interessant voor meerdere partijen. Er zijn ten slotte verschillende stakeholders te benoemen die geraakt worden door de conclusies uit dit onderzoek. In dit hoofdstuk zullen we, naast een reflectie op het onderzoek zelf, ook een reflectie geven op de reacties die we verkregen hebben door de conclusies voor te leggen aan verschillende stakeholders.
6.1 Reactie stakeholders Zoals in de inleiding van dit hoofdstuk beschreven hebben we onze conclusies voorgelegd aan verschillende stakeholders. Deze zogenaamde subject matter experts hebben vanuit hun ervaring en werkveld een duidelijk beeld op het fenomeen audit binnen gemeenten of van een specifieke audit in het bijzonder. 1. 2. 3.
IT-auditors (Register EDP-auditors) (2) Register accountants (2) Medewerker IT gemeente (4 gemeenten)
Hun reacties hebben we hieronder weergegeven. Wij hebben geprobeerd de visie te verkrijgen zonder verder de discussie aan te gaan over bepaalde onderwerpen. Na de tabel met reacties hebben wij hierop kort onze visie gegeven. 1. IT Auditor/IT Risk professional “Gemeenten, kleine overheden en overige gebruikers van de verschillende, genoemde voorzieningen zitten echt te wachten op informatie, hulp en advies, tooling, etc op dit onderwerp. De komende periode zal voor deze organisaties (groten)deels in het teken staan van het vinden van de juiste combinatie hiervan om toe te gaan naar Single Information en Single Audit. Het is echter van groot belang dat conclusies niet te licht getrokken worden en dat de informatie die de genoemde organisaties krijgen up-to-date is en gericht is op het integreren van de relevante informatie en stappen. Dit om te voorkomen dat er enerzijds stappen genomen worden om alle relevante onderdelen en informatie te bundelen en anderzijds verschillende teams en / of verantwoordelijken in de organisatie separaat initiatieven starten, waardoor er toch nog gesegmenteerd wordt gewerkt. Dit lijkt mij niet wenselijk.” 2. IT Auditor (RA/RE) “Voorwaarden waaraan moet worden voldaan om überhaupt samen te gaan dienen scherp te zijn. Voorbeeld: diepgang, opzet/bestaan/werking, totaal oordeel/oordeel per norm/oordeel op hoger niveau. Uit de analyse moet blijken dat de scope en de aandachtsgebieden niet aan elkaar gelijk zijn. Voor een dergelijk product is het van belang om in kaart te brengen waar we vanaf komen en waar we naartoe gaan.” 3. Accountant (RA/RE) “Onderwerp spreekt me zeer aan en leeft ook erg in de praktijk zoals we weten. Inhoudelijk worden vijf audits besproken en de BIG, zo werkt dat volgens mij niet. De jaarrekeningcontrole zal overkoepelend zijn, omdat dat niet alleen een oordeel geeft over de cijfers in de jaarrekening maar ook over de AO / IB omgeving waarbinnen de cijfers tot stand komen. Ik begrijp wel dat je vanuit de BIG de IT-audits wilt opzetten, maar de onderbouwing daarvan is niet vanzelfsprekend en moet wel afgezet worden tegen een 41
SISA aanpak vanuit de jaarrekeningcontrole. De conclusie is dat BIG alle normen omvat; ik zou verwachten dat de jaarrekeningcontrole alle normen omvat. In het overzicht is dat niet zo en omvat BIG meer normen, maar dit heeft nog wel toelichting nodig, want niet iedereen is daarmee eens. Klopt het wel dat BIG audit alle deelgebieden omvat? Sommige zaken die wel in een andere audit worden beoordeeld zijn mogelijk niet in scope bij de BIG audit. Een TPM is geen accountantscontrole en biedt niet dezelfde mate van assurance. Ik zou TPM er niet bijhalen maar praten over scope of normenkader. Mijns inziens is de TP mededeling heel ander vraagstuk.” 4. Accountant (RA) “Aangezien jullie uiteindelijk meerdere partijen gebruik willen laten maken van één auditrapport, zal je moeten zorgen dat niet alleen de conclusies per control, maar ook de testwerkzaamheden (test of control) zichtbaar zijn in de rapportage. Dit is nu een punt waar we als accountant al vaker tegenaan lopen. Vaak krijgen we rapportages waar alleen een totaal conclusie en eventuele bevindingen in staan, of alleen een conclusie per control met eventuele bevindingen. Echter de uitgevoerde testwerkzaamheden ontbreken vaak. Omdat je met meerdere partijen te maken hebt, zou het wel erg prettig zijn om ook juist inzicht te krijgen in de testwerkzaamheden. Hiermee kun je als gebruiker van het rapport goed zien dat jouw scope daadwerkelijk is meegenomen in de audit en op welke wijze dit is gedaan. Mijn verwachting is dat dit kan bijdragen aan de acceptatie van een dergelijk rapport door andere audit partijen.” 5. Informatieconsulent (Gemeente +/- 120.000 inwoners) “Ik heb de scriptie snel gelezen en ik kan me in grote lijnen geheel vinden in de conclusie. Ook de opzet is prima. Vanuit onze gemeente is behoefte aan een single audit aanpak. Jaarlijks kosten allerlei audits veel tijd en moeite. Ook wordt veelal hetzelfde opgevraagd waardoor we behoefte hebben aan iets om dit te beheren. We hebben onze IT omgeving nu ondergebracht in een gemeentelijke samenwerking en daarmee is het soms lastig in te schatten waar de verantwoordelijkheden liggen voor de verschillende audits.” 6. Manager ICT a.i. (Gemeente +/- 70.000 inwoners) “Leuk om te zien dat jullie je hier mee bezig hebben gehouden. Vanuit mijn ad interim rol bij deze gemeente en eerdere gemeenten denk ik dat je vooral ook een brug moet slaan binnen de gemeenten om dit uitgevoerd te krijgen. Voor wat betreft ICT is het redelijk simpel om een dergelijke audit in één keer uit te voeren, echter voor iedere beschreven audit is een andere afdeling vanuit de organisatie verantwoordelijk. Nadeel hiervan is dat men allemaal hun eigen ‘extra’ eisen stelt aan de zaken die we vanuit ICT leveren qua input. Je moet hierbij denken aan timing van de werkzaamheden, maar ook de wijze waarop wij dingen aanleveren. Bij de ene audit komt de auditor bij ICT langs en wil zelf in het systeem alles bekijken (en kijken wij mee). Bij jullie komen jullie ook hier, maar bedienen jullie zelf niks en willen vooral overal screenprints van, terwijl we voor de jaarrekening meestal alleen wat exportlijsten uit het financieel systeem (autorisaties) en een screenprint van de Windows wachtwoordinstellingen moeten maken en die vervolgens aan de financiële administratie op sturen.” 7. Coördinator werkveld automatisering (gemeente +/- 30.000 inwoners) “Jullie geven aan dat de drie audits qua scope van controls overeenkomen, alleen voor bijvoorbeeld DigiD en de jaarrekening worden toch juist heel andere onderdelen van het
42
netwerk getoetst. Kan en mag je dan volstaan met een overkoepelende steekproef? Binnen onze gemeente is namelijk het gebruikersbeheer voor de webapplicatie (onderdeel van DigiD) niet bij het werkveld automatisering belegd en volgt dus een ander proces. Vanuit het werkveld automatisering leveren wij alleen het technisch beheer van de DigiD omgeving en natuurlijk het Windows netwerk account voor de gebruikers. Verder zou het voor ons wel schelen als er maar één audit wordt gedaan, scheelt weer met inplannen van beschikbaarheid aan onze kant. Maar mag bijvoorbeeld de accountant als een dergelijk rapport bestaat nog extra werkzaamheden uitvoeren, of is dat door een dergelijk rapport uitgesloten? Onze accountant wil namelijk altijd in het voorjaar bij de eindcontrole nogmaals een aantal zaken testen, terwijl we de resultaten voor DigiD dan allang opgeleverd moeten hebben. Dit gaat tijd technisch dus niet in één rapport passen lijkt mij. In je conclusie heb je het verder over het effect bij een shared service center, wij staan op het punt om met meerdere gemeenten samen te gaan qua ICT / automatiseringsafdeling. De eerste zaken worden hier al voor uitgevoerd en sommige (inkoop en beleid) lopen al grotendeels centraal. Vooralsnog denk ik dat dit nog wel een brug te ver is, aangezien we vanuit de nieuwe IT afdeling in eerste instantie de netwerken van de bestaande gemeenten blijven beheren, waardoor ook hier eigenlijk nog geen generiek proces bestaat (net als nu voor de webapplicatie van DigiD en het Windows netwerk).” 8. Hoofd Informatisering & Automatisering (gemeente +/- 20.000 inwoners) Binnen de gemeente hebben we ook een focus op het aantal audits/maatregelen. Nu zijn we vooral weer te druk met de aanbevelingen van de vorige DigiD assessment. De governance normen waren niet effectief. Dit willen we eerst op orde hebben voor we na gaan denken over de aanpak van de volgende audits. Voor suwi is niets gebeurd. We willen hierin ook samen gaan werken met gemeentes in de regio, we willen de dingen niet dubbel doen.
De ontvangen reacties zijn verschillend en belichten ieder een ander perspectief. Een gemene deler in de reacties is de wijze waarop het voorstel (qua concept) wordt ontvangen. Iedereen is het eens dat de initiatieven op dit vlak toegejuicht moeten worden, of dit nu het bundelen van audits is of het vervangen van de verschillende audits door middel van een overkoepelende audit. Dit bevestigt het nut en de noodzaak van het onderwerp beschreven in dit onderzoek. Ook zijn er een aantal kritische kanttekeningen gegeven op onze conclusie. Deze hebben voornamelijk betrekking op zaken als scoping, timing en de wijze van rapporteren. Dit zijn ook aandachtspunten die we beschreven hebben als zijnde van significant belang. Een belangrijk gegeven dat in meerdere reacties terugkomt, betreft de inrichting van processen binnen de gemeenten. Men geeft aan dat procedures en beheerprocessen niet voor ieder IT onderdeel of iedere applicatie gelijk zijn. In de conclusie beargumenteren we dat een voorwaarde voor bundelen is, dat processen zoals bijvoorbeeld change management generiek zijn binnen een organisatie. Enkel dan heeft dit met het nemen van steekproeven en het bepalen van de juiste beheersmaatregelen de mogelijk om audits te bundelen. Het blijkt uit de reacties dat deze mate van uniforme processen en standaardisatie niet altijd aan de orde is. Een eerste stap richting het genoemde single information, single audit zou dan zijn om dit naar een hoger volwassenheidsniveau te tillen. Zoals ook in paragraaf 3.2
43
reeds aangegeven is dat het bewerkstelligen van single control. Eenzelfde vraagstuk geldt voor de gemeenten die samen in een SSC zijn ondergebracht, daarvoor moeten de processen binnen de gemeenten én binnen het SSC generiek zijn om deze succesvol te kunnen bundelen. Een andere interessante opmerkingen betreft het moment van uitvoering. Voor de jaarrekening geldt dat deze over een boekjaar wordt gecontroleerd. Dat heeft als gevolg dat de IT audit ook over dat gehele boekjaar uitgevoerd dient te worden. Voor de timing van een gebundelde audit betekent dit dat die altijd ná het boekjaar plaats dient te vinden, of er dient op meerdere momenten getoetst te worden. Voor SUWI en DigiD is dit geen probleem, ervan uitgaande dat een boekjaar bij gemeenten altijd een kalenderjaar is, aangezien deze respectievelijk voor 15 maart en voor 1 mei opgeleverd dienen te worden.
6.2 Vervolgonderzoek Naar aanleiding van het uitgevoerde onderzoek zijn er bepaalde zaken die om aandacht vragen. Zoals mogelijkheden voor vervolgonderzoek en toepasbaarheid van de conclusies uit dit onderzoek. Daarnaast proberen we een discussie te starten door stellingen als voor- en nadelen voor de verschillende belanghebbenden te poneren. Toepasbaarheid onderzoek De conclusie uit dit onderzoek, namelijk dat het voor bepaalde audits mogelijk is om deze te bundelen in één audit, is met enkel dit onderzoek nog niet gelijk toepasbaar. Op basis van de door ons gedefinieerde aandachtspunten, die bepalend zijn voor de uitvoering van een audit, en bepaling van de overlap van normen kunnen stappen gezet worden richting het definiëren van een standaardnormenkader. Een dergelijk normenkader zou een bundeling kunnen zijn van de beschreven audits, maar zou ook meegenomen kunnen worden bij de verdere ontwikkeling van de BIG als een richtlijn die ook getoetst gaat worden. De reflectie door de belanghebbenden mist breedte. Door de vorm van ons onderzoek en de tijdspanne waarin dit plaats heeft gevonden is onvoldoende ruimte gebleken om hier voldoende gesprekken aan te wijden. Een uitbreiding met opdracht gevende instanties zoals Logius en BKWI, of brancheorganisaties VNG en KING zou waardevol zijn geweest. Gedurende het uitvoeren van dit onderzoek, tijdens het schrijven van de conclusies en bij het raadplegen van de stakeholders zijn verschillende vragen opgekomen die het verder onderzoeken waard zijn. Hieronder een opsomming van mogelijke vervolgonderzoeken: • • • •
Definiëren van een generiek normenkader en auditplan op basis van de BIG om de bestudeerde audits in op te nemen; Onderzoek op welke wijze de conclusies uit dit onderzoek met betrekking tot deze audit geëxtrapoleerd kunnen worden naar andere audits; Onderzoek naar de wil en de mogelijkheden van betrokken partijen om gezamenlijk naar een Single Audit framework te werken. Onderzoek naar Single audit mogelijkheden binnen andere sectoren, zoals de zorg.
Voor- en nadelen van bundeling Een gebundelde audit voor drie andere audits, of de BIG in plaats van de overige audit, levert voor verschillende betrokkenen zowel voor- als nadelen op. Hieronder hebben we per betrokkene drie voor- en nadelen kort opgesomd. Het spreekt voor zich dat deze lijst niet
44
volledig is, het betreft dan ook stellingen die vooral als startpunt voor discussie kunnen dienen. Gemeente Voordelen Meer begripsvorming voor informatiebeveiliging en IT beheersing in algemeen Beter inzicht in interne controle
Nadelen Eenmalige audit vraagt meer kennis en tijd
Verlaging van de auditlast in tijd en kosten
Bredere scope leidt tot meer bevindingen en dus meer herstelwerkzaamheden, dus meer tijd en kosten Afhankelijkheid van verschillende (audit)partijen
Auditor Voordelen
Nadelen
Efficiëntere controle mogelijk in tijd en kosten Totaalproduct beschikbaar Meer diepgang door groter normenkader
Samenwerking tussen verschillende gemeenten zorgt voor complexere steekproefstrategie (bij verschillende applicaties/procedures) Risico is groter door scope en verschillende doelgroepen Eén totaalproduct minder omzet dan drie losse audits?
Stakeholders (bijvoorbeeld: overheid/Logius/VNG/de burger) Voordelen Nadelen Beter totaalbeeld van IT omgeving gemeenten Standaardisatie van regelgeving Ondersteuning Single Information Single Audit (SiSa) doelstelling
Eindproduct niet meer volledig op eigen scope gericht (bijv: DigiD voor Logius) Afwijking van huidige formats Samenwerking ook op hogere niveaus onvermijdelijke dus extra kosten
Accountant Voordelen
Nadelen
Meer zekerheid omtrent betrouwbaarheid IT omgeving Kosten IT Audit jaarrekening niet noodzakelijk van jaarrekeningbudget Efficiëntere controle mogelijk in tijd en kosten
Niet kunnen steunen op werkzaamheden andere auditor Mislopen IT audit dienstverlening door integratie IT audit jaarrekening in andere audits De application controls dienen hoe dan ook aanvullende getoetst te worden door IT auditor
6.3 Reflectie Tim Florack De totstandkoming van deze scriptie is niet in een rechte lijn verlopen. Waar we in eerste instantie een focus hadden op de Shared Service Centers, is deze focus gedurende het proces verlegd naar de gemeenten zelf. Achteraf gezien is dat een verstandig besluit, omdat de conclusies gemakkelijker door te trekken zijn naar een SSC in plaats van de andere kant op. Hierin zijn we ook ondersteund door onze scriptiebegeleider Het onderzoek heeft voor mij ook een professionele waarde, aangezien ik veelal werk in de publieke sector. Door dit onderwerp heb ik me nog meer kunnen verdiepen in de vraagstukken die leven binnen die sector en heb ik mijn kennis van de verschillende audits kunnen verhogen.
45
Qua samenwerking heeft deze scriptie ook de nodige hobbels in de weg gekend. De afstand, en de drukke agenda’s hebben ervoor gezorgd dat we niet altijd samen op één locatie aan dit onderzoek hebben gewerkt. Daarnaast heb ik gedurende het onderzoek onze gezamenlijke werkgever verlaten om mijn eigen IT Risk praktijk te starten. Dit heeft uiteraard ook een impact op het aantal contactmomenten gehad. Uiteindelijk ligt er een stuk wat zeker een toegevoegde waarde heeft binnen een vraagstuk dat al een tijd actief wordt behandeld binnen de gemeenten. Het leeft, het is boeiend en ik ben blij dat we er deze bijdrage aan hebben kunnen leveren.
6.4 Reflectie Bert Klaassen Het gehele proces van de scriptie, van het schrijven van het eerste scriptievoorstel tot het afronden van dit rapport, heb ik als een leerzaam proces beschouwd. Eerlijk gezegd had ik er in het begin van het proces niet heel veel zin in en zag ik er ook wel tegenop. Aan de andere kant kreeg ik gedurende het proces meer ‘fun’ in het werken aan de scriptie. Dit mede door de wenteling die we qua onderzoeksvraag hebben doorgemaakt. Voor deze wijziging hebben we zelf gekozen, maar dankzij de gesprekken met Paul kwamen we tot betere inzichten, waardoor we de keuze hebben kunnen maken. Het samenwerkingsproces met Tim als persoon heb ik als erg prettig ervaren. We hebben over een hoop zaken dezelfde opvatting en mening en dat heeft een positieve uitwerking op onze samenwerking. Echter zijn er ook een aantal praktische zaken die de samenwerking minder gemakkelijk maken, zoals de afstand, de drukte met werk en het vertrek van Tim bij Deloitte. Ondanks deze strubbelingen hebben we er uiteindelijk samen de schouders onder kunnen zetten om deze scriptie tot een positief einde te brengen. Qua uitkomsten van de scriptie had ik van te voren een eigen verwachting, welke grotendeels ook is uitgekomen. Ik ben blij met de reactie die we hebben gekregen toen we onze conclusie hebben voorgelegd aan een aantal stakeholders.
46
Literatuurlijst Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten Verantwoordingsrichtlijn voor de EDP-audit van de beveiliging van Suwinet Naar veiliger gebruik van Suwinet, VNG verantwoordingsrichtlijn_GeVS_2011 Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten Richtlijn Assurance-opdrachten door IT-auditors (3000) Naar veiliger gebruik van Suwinet, VNG rapportage template Logius Brief staatssecretaris J. Klijnsma aan gemeenten (referentie: 2013-0000166483, dd. 19 december 2013) ‘Beveiliging persoonsgegevens’ –Achtergrond en Verkenningen 23, april 2001 (CBP) Praktijkboek Financieel Management afl. 34 (december 1996), XIV.2.5, M. Groesz Kamerbrief ‘ICT-beveiligingsassessments DigiD gebruikende organisaties’ (2-2-2012, kenmerk: 2012-0000057362)
Geraadpleegde websites www.binnenlandsbestuur.nl http://wetten.overheid.nl/ http://www.kadaster.nl/web/Themas/Registraties/BAG-1.htm http://bag.vrom.nl/ http://www.rva.nl/ www.rijksoverheid.nl http://www.bprbzk.nl/ www.computable.nl https://www.ibdgemeenten.nl/ibd/ http://www.binnenlandsbestuur.nl/digitaal/nieuws/gemeenten-willen-minderbeveiligingsaudits.9172203.lynkx http://wetten.overheid.nl/BWBR0023466/geldigheidsdatum_01-04-2014 http://www.kadaster.nl/web/Themas/Registraties/BAG-1.htm http://bag.vrom.nl/sites/default/files/Def duidingsdocument 2014 dd 02052014 vastgesteld 07052014_0.pdf http://www.rva.nl/ http://wetten.overheid.nl/BWBR0025520/geldigheidsdatum_01-04-2014 http://bag.vrom.nl/sites/default/files/beheeraudit_bag_2010_concept_044.pdf http://bag.vrom.nl/sites/default/files/Model_inspectierapportage_BAG_2012.pdf http://wetten.overheid.nl/BWBR0033715/geldigheidsdatum_01-04-2014 http://wetten.overheid.nl/BWBR0034319/geldigheidsdatum_01-04-2014 http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/basisregistratie-personen-brp http://www.bprbzk.nl/BRP/Zelfevaluatie_BRP http://www.bprbzk.nl/BRP/Zelfevaluatie_BRP/Bestandscontrolemodule
47
http://www.bprbzk.nl/Kwaliteitsmonitor http://wetten.overheid.nl/BWBR0013060/geldigheidsdatum_01-04-2014 http://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijnlaks-met-beveiliging-suwinet.html http://nl.wikipedia.org/wiki/DigiD http://www.logius.nl/producten/toegang/digid/ https://www.digid.nl/over-digid/wie-doen-mee/ http://webwereld.nl/beveiliging/54950-lektober-superknaller-megalek-treft-50-gemeenten http://wetten.overheid.nl/BWBR0033715/geldigheidsdatum_01-04-2014 http://www.rijksoverheid.nl/bestanden/documenten-enpublicaties/kamerstukken/2013/05/23/visiebrief-digitale-overheid-2017/visiebrief-digitaleoverheid-2017.pdf http://www.vng.nl/files/vng/brieven/2013/attachments/20131031_resolutieinformatieveiligheid.pdf https://www.nba.nl/HRAweb/HRA1A/201201/html/45767.htm http://www.binnenlandsbestuur.nl/digitaal/nieuws/gemeenten-willen-minderbeveiligingsaudits.9172203.lynkx http://www.vandale.nl/
48
Bijlagen
49
Bijlage 1 - Matrix overlap domeinen Jaarrekening Doel/opdrachtgever Accountant
DigiD Logius (overheid)
BAG Overheid
BRP Overheid
Suwinet Besturend orgaan (BKWI)
Scoping
a.d.h.v. risico-analyse
Webfacing
Gegevens, proces, systeem
Koppelvlak SuwinetSuwipartij
IT Component
Besturingssysteem + proces
DigiD productiebeheerserver
Gegevens, gegevensverwerking, systeem Informatiesysteem Basisregistratie
Informatiesysteem Basisregistratie
Suwinet toepassing
Diepgang
OE
D&I
Bevoegdheid uitvoeren
Intern kantoorafhankelijk
RE
Geaccriteerde instellingen (specifiek)
Self-assessment
RE
Frequentie
Jaarlijks
Jaarlijks
3-jaarlijks
Jaarlijks
Jaarlijks
Normen
GITC
Beveiligingsrichtlijnen NCSC
Audit framework BAG
Vragenlijst BRP
ISO27001 gebaseerd
Documentatie
Intern kantoorafhankelijk Mogelijk
Voorgeschreven standaard (enkel rapportage) Mogelijk
Voorgeschreven standaard
IT Assurance
Voorgeschreven standaard (enkel voor rapportage) Mogelijk
Voorgeschreven standaard (enkel voor rapportage) Mogelijk
Kosten
Scope-afhankelijk
Scope-afhankelijk
OE
Mogelijk
Niet beschreven
50
Bijlage 2 - Matrix overlap normen Totaal overlap 5 audits
BIG
80%
80%
60%
60%
60%
60%
40%
40%
40%
Netwerkbeheer
40%
Organisatorische aspecten
40%
Architectuur/ Standaarden
20%
Capaciteitsbeheer
20%
Configuratiebeheer
20%
Probleembeheer
20%
Beheer IT omgeving
0%
Beheer van bedrijfsmiddelen
0%
Personele beveiliging
0%
Domein
BAG
Suwinet
BRP
Jaarrekening
Logische toegangsbeveiliging
Fysieke beveiliging
Informatiebeveiligingsbeleid
Wijzigingsbeheer
Incidentbeheer
Batchverwerking/interfaces
Hardening
SLA-management
Continuïteitsbeheer
DigiD
51
Match op totaal aantal domeinen
6%
83%
22%
33%
44%
100%
52
Externe bijlagen
DigiD Assessment
Suwinet Audit BAG BRP BIG Jaarrekeningcontrole
Externe bijlagen Gemeenteland:
Auditland Auditvoordelen door bundeling IT-audit onderdelen Scriptienummer: 2017
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan 1105 1081 HV Amsterdam Auteurs: T. Florack 2514472 B. Klaassen 2514469 Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: Ing. Y.F. Notten MSc. RE
I
Inhoudsopgave
1 - Normenkader BAG................................................................................................................ 1 2 - Vragenlijst BRP ..................................................................................................................... 9 3 - Normenkader Suwinet ....................................................................................................... 66 4 - Beveiligingsrichtlijnen DigiD Assessment ........................................................................... 85 5 - Normenkader jaarrekening audit ....................................................................................... 86 6 - Domeinen BIG..................................................................................................................... 88
Voorwoord Voor u ligt de externe bijlage van onze scriptie “Gemeenteland: Auditland”, welke tot stand is gekomen in het kader van de Postgraduate opleiding IT Audit Compliance & Advisory aan de Vrije Universiteit Amsterdam. Wij hebben voor dit extra document gekozen, omdat we de gebruikte normenkaders, vragenlijst en richtlijnen, zoals deze worden gebruikt bij de verschillende audits, graag met u willen delen. Echter gezien de omvang van de documenten en het feit dat wij deze inhoudelijk gezien niet zelf hebben opgesteld, hebben wij besloten om deze in een extern document toe te voegen. Bert Klaassen (Deloitte Risk Services B.V.) Tim Florack (Cuccibu B.V.)
II
1 - Normenkader BAG Verplicht/ gewenst
Gerelateerde wettelijke norm
V
Wet: artt, 12, 16
98%
Ja, Nee maar
2. Zijn alle berichten aangeboden aan de Landelijke Voorziening BAG binnen vijf werkdagen na de documentdatum?
V
Wet : artt. 16, 31
98%
Ja, Nee maar
3. Zijn alle geweigerde berichten zo spoedig als redelijkerwijs mogelijk opnieuw aangeboden aan de Landelijke Voorziening en daarbij alsnog geaccepteerd door de Landelijke Voorziening?
V
Wet : artt. 16, 31
98% in maximaal 2 werkdagen
Ja, Nee maar
4. Is de status van panden binnen zes maanden na het verkrijgen van de status “pand gereed (niet ingemeten)” veranderd in “pand gereed” door de opname van de definitieve pandgeometrie?
V
Wet: art. 7
98%
Ja, Nee maar
5. Hebben alle via de Landelijke Voorziening BAG ontvangen terugmeldingen, waarbij niet binnen 2 werkdagen is besloten tot opname of wijziging van gegevens, geleid tot het in onderzoek plaatsen van de objecten waarop de terugmelding betrekking heeft?
V
Wet: art 39
90%
Ja, Nee maar
6. Heeft de gemeente in het geval van een ontvangen terugmelding of correctieverzoek, na het doen van onderzoek binnen een half jaar een beslissing genomen over het al dan niet wijzigen van de opgenomen gegevens in de registratie?
V
Wet: art 39
90%
Ja, Nee maar
V (met document)
Wet: art 31
98%
Ja, Nee maar
Verificatiepunten bestandscontroles 1. Worden mutaties die voortkomen uit reguliere brondocumenten en processenverbaal van constatering alsmede schriftelijke verklaring van daartoe aangewezen ambtenaren binnen vier werkdagen na de brondocumentdatum opgenomen in de basisregistratie gebouwen of de basisregistratie adressen?
7. Is het op een bepaalde peildatum opgenomen aantal objecten per objecttype in de gemeentelijke basisregistraties adressen en gebouwen exact gelijk aan het aantal op de peildatum opgenomen objecten in de Landelijke Voorziening BAG?
Norm
Toegestane antwoorden
1
Verificatiepunten steekproef registratie en register 1. Kan de gemeente alle brondocumenten behorende bij de mutaties die sinds de voorgaande audit hebben plaatsgevonden op de geselecteerde objecten, binnen een redelijke termijn raadpleegbaar en beschikbaar maken? 2. Heeft het brondocument in het register betrekking op de betreffende mutatie op het object in de BAG waarbij een verwijzing naar het betreffende brondocument is opgenomen? 3. Komen de bij het object gemuteerde gegevens in de registratie exact overeen met de gegevens zoals die in het betreffende brondocument zijn opgenomen?
Verificatiepunten controle inbedding processen 1. Zijn de processen binnen de gemeente dusdanig vormgegeven dat bij het plaatsvinden van gebeurtenissen die leiden tot in het kader van de basisregistraties adressen en gebouwen relevante wijzigingen in de verschijningsvorm van objecten, deze wijzigingen tijdig en op een correcte wijze in deze registraties worden verwerkt? 2. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat alle verleende bouwvergunningen die relevant zijn voor de bijhouding van de basisregistratie gebouwen, leiden tot opname van de betreffende panden en eventuele verblijfsobjecten in de basisregistratie gebouwen? 3. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat het intrekken van bouwvergunningen die relevant zijn voor de bijhouding van de basisregistratie gebouwen, leidt tot verwerking van deze intrekking bij de betreffende panden in de basisregistratie gebouwen?
Verplicht/ gewenst
Gerelateerde wettelijke norm
Norm
Toegestane antwoorden
V
Wet : art. 9
98%
Ja, Nee maar
V
Wet: art. 14a
98%
Ja
V
Wet: art. 14a
98%
Ja
Verplicht/ gewenst
Gerelateerde wettelijke norm
Norm
Toegestane antwoorden
V
Wet: art. 16
Procestoetsing
Ja
V
Wet : artt. 10, 14a Besluit ; art. 8
Procestoetsing
Ja, Nee maar
V
Wet : artt. 10, 14a Besluit ; art. 8
Procestoetsing
Ja, Nee maar
2
Verificatiepunten controle inbedding processen 4. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat het signaal dat is aangevangen met bouwwerkzaamheden die relevant zijn voor de bijhouding van de basisregistratie gebouwen, leidt tot verwerking van dit signaal bij de betreffende panden in de basisregistratie gebouwen? 5. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat het signaal dat bouwwerkzaamheden die relevant zijn voor de bijhouding van de basisregistratie gebouwen zijn afgerond, leidt tot verwerking van dit signaal bij de betreffende panden en eventuele verblijfsobjecten in de basisregistratie gebouwen? 6. Is bij panden die op enig moment in de laatste drie jaar de status “pand in gebruik (niet ingemeten)” hebben gekregen, gecontroleerd of het (definitieve) bouwjaar bij ingebruikname afwijkt van het eerder opgenomen (voorlopige) bouwjaar en is dat voorlopige bouwjaar in dat geval bijgewerkt naar het definitieve bouwjaar? 7. Is bij wijzigingen aan een pand (zoals een aanbouw van een serre), het “bouwjaar” het bouwjaar gebleven waarin het pand oorspronkelijk als zodanig is opgeleverd? 8. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat alle verleende sloopvergunningen die relevant zijn voor de bijhouding van de basisregistratie gebouwen, leiden tot wijziging van over de betreffende panden in de basisregistratie gebouwen bijgehouden statusgegevens? 9. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat het signaal dat sloopwerkzaamheden die relevant zijn voor de bijhouding van de basisregistratie gebouwen zijn afgerond, leidt tot verwerking van dit signaal bij de betreffende panden en eventuele verblijfsobjecten in de basisregistratie gebouwen?
Verplicht/ gewenst V
V
V
V
V
V
Gerelateerde wettelijke norm Wet : artt. 10, 14a Besluit ; art. 8 Wet : artt. 10, 14a Besluit ; art. 8
Norm
Toegestane antwoorden
Procestoetsing
Ja, Nee maar
Procestoetsing
Ja, Nee maar
Regeling: catalogus
Procestoetsing
Ja, Nee maar
Regeling: catalogus Wet : artt. 10, 14a Besluit ; art. 8 Wet : artt. 10, 14a Besluit ; art. 8
Procestoetsing
Ja
Procestoetsing
Ja, Nee maar
Procestoetsing
Ja, Nee maar
3
Verplicht/ gewenst
Gerelateerde wettelijke norm
Norm
Toegestane antwoorden
V
Wet: art 6a, 10 en 39
Procestoetsing
Ja, Nee maar
11. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat de resultaten van het onderzoek naar aanleiding van een terugmelding ook worden gemeld aan degene die de terugmelding heeft gedaan?
V
Wet: art 40
Procestoetsing
Ja, Nee maar
12. Hebben burgemeester en wethouders bij de administratieve inrichting van de registers en registraties de processen op een zorgvuldige, transparante en consistente wijze vormgegeven?
V (met document)
Regeling: art. 2
Procestoetsing
Ja, Nee maar
V (met document)
Wet: art 2, 9, 10, 11, 14, 14a, 15, 31, 32, 37, 39, 40 en 41
Procestoetsing
Ja, Nee maar
V (met document)
Regeling: art. 2 i.c.m. Wet: art 8
Procestoetsing
Ja, Nee maar
Verificatiepunten controle inbedding processen 10. Heeft de gemeente voldoende maatregelen genomen om ervoor te zorgen dat een terugmelding over een object dat ten onrechte niet in de basisregistraties adressen en gebouwen is opgenomen, binnen 2 werkdagen na ontvangst van de melding alsnog leidt tot de opname als geconstateerd object in de basisregistratie adressen en gebouwen (tenzij binnen deze periode wordt vastgesteld dat voor het ontstaan van dit object geen regulier brondocument vereist is)?
13. Beschikt de gemeente over een regeling waarin de in het kader van de Wet basisregistraties adressen en gebouwen aan burgemeester en wethouders opgedragen taken zijn gemandateerd aan één of meerdere medewerkers, indien deze taken niet door burgemeester en wethouders zelf worden uitgevoerd? 14. Als burgemeester en wethouders gebruik hebben gemaakt van de mogelijkheid om ambtenaren aan te wijzen die zijn belast met de vaststelling van de geometrie, zoals bedoeld in art. 8 van de wet basisregistraties adressen en gebouwen, beschikt de gemeente dan over een document waaruit deze aanwijzing blijkt?
4
Norm
Toegestane antwoorden
Regeling: art. 2 i.c.m. Wet: art 10
Procestoetsing
Ja, Nee maar
V (met document)
Regeling: art. 2 i.c.m. Besluit: artt. 7 en 8
Procestoetsing
Ja, Nee maar
V
Regeling: catalogus
Procestoetsing
Ja, Nee maar
18. Heeft de gemeente maatregelen genomen om de kwaliteit van de in de basisregistratie gebouwen opgenomen oppervlakte van verblijfsobjecten, te verbeteren indien gebruik is gemaakt van conversiefactoren voor niet-woningen?
V
Regeling: catalogus
Procestoetsing
Ja, Nee maar
19. Is de kwaliteitsbeheersing en kwaliteitsverantwoording inzake de basisregistraties adressen en gebouwen in het bestaande kwaliteitssysteem van de organisatie ingebed of is er sprake van een specifiek regiem van kwaliteitsbeheersing en kwaliteitsverantwoording voor deze basisregistraties?
G (met document)
Gebaseerd op regeling: art. 2
Procestoetsing
Ja, Nee maar
Verificatiepunten controle inbedding processen 15. Hebben burgemeester en wethouders gebruik gemaakt van de mogelijkheid om ambtenaren aan te wijzen die zijn belast met het opstellen van een proces-verbaal van constatering zoals bedoeld in art. 10, eerste lid, onder b van de Wet basisregistraties adressen en gebouwen, en zo ja beschikt de gemeente dan over een document waaruit deze aanwijzing blijkt? 16. Hebben burgemeester en wethouders gebruik gemaakt van de mogelijkheid om ambtenaren aan te wijzen die zijn belast met het opstellen van schriftelijke verklaringen strekkende tot het signaleren van wijzigingen in de feitelijke situatie die van invloed zijn op de adressenregistratie of de gebouwenregistratie en die niet in een ander krachtens de Wet basisregistraties adressen en gebouwen aangewezen brondocument zijn opgenomen, en zo ja beschikt de gemeente dan over een document waaruit deze aanwijzing blijkt? 17. Zijn bij de opdrachtverlening voor het laten inmeten van de geometrie van panden eisen gesteld aan de kwaliteit van de op te leveren geometrie, die minimaal overeenkomen met de eisen die in de catalogus zijn opgenomen omtrent de geometrie van panden?
Verplicht/ gewenst
Gerelateerde wettelijke norm
V (met document)
5
Verplicht/ gewenst
Gerelateerde wettelijke norm
Norm
Toegestane antwoorden
V
Wet: art. 16
Procestoetsing
Ja, Nee maar
2. Kan een verantwoordelijke voor de processturing op het aanleveren van gegevens die relevant zijn voor de bijhoudingsprocessen rondom de basisregistraties adressen en gebouwen aangeven op welke wijze dit aanleveringsproces daadwerkelijk wordt uitgevoerd?
G
Regeling: art. 2
Procestoetsing
Ja
3. Kan een verantwoordelijke voor de processturing op het aanleveren van gegevens die relevant zijn voor de bijhoudingsprocessen rondom de basisregistraties adressen en gebouwen de relevante procesbeschrijvingen overleggen?
G
Regeling: art. 2
Procestoetsing
Ja, Nee maar
4. Kan een medewerker die belast is met het doorvoeren van mutaties, het in ontvangst nemen van meldingen of het verwerken van terugmeldingen en correctieverzoeken aangeven op welke wijze dit verwerkingsproces daadwerkelijk wordt uitgevoerd?
G
Regeling: art. 2
Procestoetsing
Ja
5. Kan een medewerker die belast is met het doorvoeren van mutaties, het in ontvangst nemen van meldingen of het verwerken van terugmeldingen en correctieverzoeken de relevante procesbeschrijvingen overleggen?
G
Regeling: art. 2
Procestoetsing
Ja, Nee maar
Verplicht/ gewenst
Gerelateerde wettelijke norm
Norm
Toegestane antwoorden
V
Wet : art. 31 Regeling : art. 4 en bijlage II
100%
Ja
Verificatiepunten controle werking processen 1. Worden de processen binnen de gemeente in de praktijk dusdanig uitgevoerd dat bij het plaatsvinden van gebeurtenissen die leiden tot in het kader van de basisregistraties adressen en gebouwen relevante wijzigingen in de verschijningsvorm van objecten, deze wijzigingen tijdig en op een correcte wijze in deze registraties worden verwerkt?
Verificatiepunten BAG conforme applicatie 1. Voldoet de door de gemeente gebruikte versie van de applicatie aan de specificatie van de berichten ten behoeve van elektronisch berichtenverkeer zoals deze in de Regeling BAG is opgenomen?
6
Verificatiepunten continuïteit systeem (uitwijk) 1. Heeft de gemeente een uitwijkconfiguratie beschikbaar voor de basisregistraties adressen en gebouwen? 2. Beschikt de gemeente over een actueel uitwijkdraaiboek waarin alle taken, verantwoordelijkheden en acties zijn vastgelegd? 3. Is het draaiboek altijd beschikbaar, ook indien de reguliere locatie niet bereikbaar is? 4. Wordt de uitwijkconfiguratie tenminste eenmaal per twaalf maanden getest op actualiteit en juiste werking?
5. Zijn er zodanige voorzieningen getroffen dat de meest noodzakelijke activiteiten in het kader van het beheer en het gebruik van de BAG, binnen vier weken op een andere locatie kan plaatsvinden indien de reguliere locatie als gevolg van een calamiteit niet kan worden gebruikt?
Verplicht/ gewenst V (met document)
Gerelateerde wettelijke norm Wet: art. 14; Regeling: art 3
Norm
Toegestane antwoorden
Procestoetsing
Ja, Nee maar
G
Gebaseerd op Wet: art. 14
Procestoetsing
Ja, Nee maar
G
Gebaseerd op Wet: art. 14
Procestoetsing
Ja, Nee maar
G (met document)
Gebaseerd op Wet art. 14 en Regeling: art. 3
Procestoetsing
Ja, Nee maar
G
Gebaseerd op Wet art. 14 en Regeling: art. 3
Procestoetsing
Ja, Nee maar
7
Verificatiepunten continuïteit systeem (back-up en herstel) 1. Wordt van de in de adressenregistratie en gebouwenregistratie opgenomen gegevens iedere werkdag een back-up gemaakt? 2. Worden de bronnen die sinds de laatste back-up gebruikt zijn voor de mutaties in de basisregistraties adressen en gebouwen zodanig bewaard dat door het opnieuw invoeren of inlezen van de mutaties aansluiting wordt gevonden met de datum en het tijdstip van de laatste back-up? 3. Vindt er nadat de gegevens naar het back-up medium zijn gekopieerd altijd een handmatige of geautomatiseerde toets plaats dat het kopieerproces correct is verlopen en of de gegevens kunnen worden terug gelezen? 4. Vindt de opslag van back-up media plaats in een andere ruimte dan die waarin de gegevens van de basisregistraties adressen en gebouwen zich fysiek bevinden?
5. Wordt de reconstructie en het herstellen van de BAG tenminste eenmaal per 12 maanden getest?
Verplicht/ gewenst V
Gerelateerde wettelijke norm Wet: art. 14; Regeling: art 3
Norm
Toegestane antwoorden
Procestoetsing
Ja
G
Wet: art. 14a
Procestoetsing
Ja
G
Gebaseerd op Wet art. 14 en Regeling: art. 3
Procestoetsing
Ja, Nee maar
G
Gebaseerd op Wet art. 14 en Regeling: art. 3
Procestoetsing
Ja, Nee maar
G (met document)
Gebaseerd op Wet art. 14 en Regeling: art. 3
Procestoetsing
Ja, Nee maar
8
2 - Vragenlijst BRP Beleid en regelgeving De vragen in dit gedeelte gaan over de manier waarop gemeenten wet- en regelgeving hebben vertaald naar lokaal beleid, de inhoud van dat beleid en hoe het beleid wordt gewaarborgd. De inhoud, omvang en kwaliteit van gemeentelijke producten is in veel gevallen voorgeschreven in wet- en regelgeving. Op lokaal niveau worden vervolgens de inzet van mensen en het uitvoeren van processen bepaald. Beleid geeft richting aan de manier waarop de organisatie wordt geleid naar de gewenste doelen. Het is daarmee een lokale op de eigen organisatie afgestemde vertaling van wet- en regelgeving. In het beleid worden resultaten benoemd die moeten worden behaald, de manier beschreven waarop dit wordt gerealiseerd, de verantwoordelijke personen daarvoor aangewezen en aangegeven op welke manier deze aspecten worden gecontroleerd en gewaarborgd. Het vaststellen van lokaal beleid maakt ook duidelijk dat de leiding van de organisatie zich verbindt aan de voorschriften, uitvoering en resultaten. Periodieke controle is belangrijk en leidt indien nodig tot bijstelling van het beleid. Daarmee worden doelen en uitvoering afgestemd op de eisen en omstandigheden van het huidige moment. Periodieke controle resulteert in een rapportage aan diegene die het beleid heeft vastgesteld. Daarmee wordt verantwoording afgelegd over het behalen van de voorgeschreven doelen. Om onafhankelijkheid te waarborgen moet de rapportage worden uitgevoerd door een ander dan degene die met de uitvoering is belast. NR Vraag Antwoord Het definiëren van doelen, normen, verantwoordelijkheden en termijnen 1 Heeft de gemeenteraad een O Nee verordening gegevensverstrekking O Ja basisregistratie personen vastgesteld die actueel is? 2 Worden gegevens verstrekt aan derden?
O Nee O Ja
Bronverwijzing
Toelichting
Wet BRP 3.8 - 3.9
Een verordening is actueel als hij vastgesteld is na ingangsdatum Wet BRP en als hij overeenkomt met de actuele stand van zaken.
Wet BRP 3.9
De Wet BRP heeft al voorzien in de verstrekking van gegevens uit de BRP aan een groot aantal derden. Voor andere derden dient een Verordening opgesteld te worden.
9
NR Vraag 3 Welke onderwerpen over het verstrekken aan derden zijn opgenomen in de verordening?
Antwoord □ Aanwijzing van door derden verrichte werkzaamheden met een gewichtig maatschappelijk belang voor de gemeente ten behoeve waarvan gegevens uit de basisregistratie kunnen worden verstrekt.
Bronverwijzing Wet BRP 3.9, lid 2
Toelichting
□ Aanwijzing van de categorieën van derden Wet BRP 3.9, lid 2 die voor de verstrekking in aanmerking komen. □ Toestaan van de verstrekking voor zover Wet BRP 3.9, lid 2 deze noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de derde en het belang of de fundamentele rechten en vrijheden van de ingeschrevene niet aan de verstrekking in de weg staan. 4 Is in de verordening of het daarvan O Nee afgeleide reglement de verstrekking O Ja van gegevens aan overheidsorganen die een orgaan zijn van de gemeente opgenomen voor zover deze gegevens noodzakelijk zijn voor de goede vervulling van zijn taak?
Wet BRP 3.8
In de Verordening moet ook de verstrekking aan de aan gemeentelijke organen worden geregeld.
10
NR Vraag 5 Beschikt u over een actueel en door het college vastgesteld beveiligingsbeleid voor de gemeentelijke voorziening?
6 Welke onderdelen / waarborgen zijn opgenomen in dit beveiligingsbeleid
Antwoord O Ja, het is actueel en door het college vastgesteld
Bronverwijzing Wet BRP 1.11, lid 1 Besluit BRP 6 BIG 5.1.1
O Ja, het is door het college vastgesteld, maar niet actueel
BIG 5.1.1
O Ja, het is actueel, maar niet door het college vastgesteld
BIG 5.1.1
O Nee □ Waarborgen voor de beschikbaarheid van de gemeentelijke voorziening
Wet BRP 1.11, lid 1 Besluit BRP 6 LO 7.2 BIG 10 □ Waarborgen voor de vertrouwelijkheid Wet BRP 1.11, lid 1 van de gegevens Besluit BRP 6 LO 7.4.7, 4.2.4 BIG 6.1.5 □ Waarborgen voor de betrouwbaarheid Wet BRP 1.10, lid 2 (volledigheid, juistheid en tijdigheid) LO 2, 3.1 BIG 12 □ Waarborgen voor de controleerbaarheid Wet BRP 4.3, lid 1 van de drie hiervoor genoemde aspecten BIG 5.1.2
Toelichting In het beleid zijn doelen, taken en verantwoordelijkheden door het College vastgesteld. Als het beleid aansluit bij de huidige situatie is het actueel. Met gemeentelijke voorziening wordt de 'oude' GBAapplicatie bedoeld.
Het beleid moet in ieder geval bepalingen bevatten over de beschikbaarheid, vertrouwelijkheid, integriteit en controleerbaarheid van de gegevens. Met gemeentelijke voorziening wordt de 'oude' GBAapplicatie bedoeld.
□ In het beveiligingsbeleid is geen van de genoemde waarborgen opgenomen
11
NR Vraag Basisregistratie Personen 7 Is gecontroleerd of de in het beveiligingsbeleid benoemde resultaten zijn behaald?
8 Over welke onderwerpen is na 1 oktober vorig jaar aan het college gerapporteerd?
Antwoord
Bronverwijzing
Toelichting
O Nee O Ja
Wet BRP 4.3, lid 1 BIG 6.1.8
Al dan niet naar aanleiding van het invullen van deze vragenlijst moet er onderzocht worden of de in het beleidsdocument gestelde normen worden behaald.
□ Informatie over de beschikbaarheid
LO 7.2 BIG 6.1.1 LO 7.4.7, 4.2.4 BIG 6.1.1
□ Informatie over de vertrouwelijkheid □ Informatie over de data integriteit (volledigheid, juistheid en tijdigheid)
LO 2, 3.1 BIG 6.1.1
□ De wijze waarop de controle heeft plaatsgevonden
BIG 6.1.1
□ In de rapportage is geen van de hier genoemde onderwerpen opgenomen / er is niet gerapporteerd Waarborgen voor onafhankelijkheid beveiligingsfunctie 9 Hoe is de onafhankelijkheid van de O De medewerker heeft geen uitvoerende medewerker die de controle op het taken met betrekking tot de BRP en heeft informatiebeveiligingsproces uitoefent daartoe ook geen bevoegdheden gewaarborgd? O De rol van controller informatiebeveiliging is apart, onafhankelijk belegd
BIG 6.1.2, 6.1.8
De controller informatiebeveiliging was in de GBA de beveiligingsbeheerder
BIG 6.1.2, 6.1.8
12
NR Vraag
Antwoord O De onafhankelijkheid is niet gewaarborgd
Bronverwijzing
Toelichting
10 Over welke onderwerpen brengt de functionaris die de controle op het beveiligingsproces uitvoert ook advies uit?
□ Advies ten aanzien van technische verbeteringen
BIG 6.1.8
Hiermee wordt advies aan het management of het College bedoeld
□ Advies ten aanzien van organisatorische verbeteringen
BIG 6.1.8
□ Advies ten aanzien van fysieke verbeteringen
BIG 6.1.8
□ Er wordt over bovenstaande onderwerpen geen advies uitgebracht Besluitvorming en vervolgacties 11 Wordt tussentijds bewaakt of de te O Ja treffen beveiligingsmaatregelen uit het O Nee beveiligingsplan binnen de vastgestelde termijn uitgevoerd zijn? 12 Naar aanleiding van welke acties of signalen is of wordt het beveiligingsplan geactualiseerd?
□ De controle en de rapportage van het proces
Besluit BRP 6 BIG 6.1
Uit te voeren beveiligingsmaatregelen moeten aan een termijn zijn gebonden
Besluit BRP 6 – 47 BIG 6.1
□ Signalen van de leidinggevende(n) □ Signalen van de uitvoerende medewerkers □ Wijzigingen in wet- en regelgeving
BIG 6.1
13
NR Vraag
Schriftelijke procedures 13 Welke schriftelijke procedures met betrekking tot beschikbaarheid, betrouwbaarheid, vertrouwelijkheid en controleerbaarheid zijn aanwezig?
Antwoord □ Het beveiligingsplan is / wordt niet geactualiseerd
Bronverwijzing
Toelichting
□ Opslaan van gegevens (incl. back-up)
Besluit BRP 6 LO 7.4.1 BIG 10.1.1
In het beleid is de norm bepaald. In een procesbeschrijving legt u naast de taken, verantwoordelijkheden en bevoegdheden vast wie, wat op welk moment uitvoert.
□ Reconstrueren van data en gegevens
LO 7.4.1 BIG 10.1.1
□ Technisch uitwijken
LO 7.4.1 BIG 10.1.1
□ Fysiek uitwijken
LO 7.4.1 BIG 10.1.1
□ Bijhouden logging
LO 7.4.1 BIG 10.1.1 BIG 10.1.1 BIG 10.1.1
□ Monitoren toegang op afstand □ Toegang tot en gebruik van systemen □ Toegang tot ruimten
BIG 10.1.1
14
NR Vraag
Antwoord □ Autoriseren van gebruikers van de gemeentelijke voorziening (inclusief een evt. overkoepelende registratie zoals gegevensmakelaar of datadistributiesusteem etc.)
Bronverwijzing BIG 11.2
14 Heeft u een schriftelijke procedure met betrekking tot het melden van incidenten?
O Ja O Nee
BIG 10.8.2 - 12.6.1 13.1.1
15 Welke schriftelijke procedures met betrekking tot privacy zijn aanwezig?
□ Protocolleren
Wet BRP 3.11 LO 4.2 BIG 15.1.4
□ Verstrekken van gegevens
Wet BRP 3.7 - 3.8 3.9 BIG 15.1.4
Toelichting Met gemeentelijke voorziening wordt de 'oude' GBA-applicatie bedoeld.
In het beleid is de norm bepaald. In een procesbeschrijving legt u naast de taken, verantwoordelijkheden en bevoegdheden vast wie, wat op welk moment uitvoert. □ Verlenen van inzage Wet BRP 2.55 - 3.22 In het beleid is de norm bepaald. LO 4.3 In een procesbeschrijving legt u BIG 15.1.4 naast de taken, verantwoordelijkheden en bevoegdheden vast wie, wat op welk moment uitvoert. □ Verstrekkingsbeperking (geheimhouding) Wet BRP 3.21 - 2.59 BIG 15.1.4
□ Er zijn geen procedures met betrekking tot privacy
15
NR Vraag 16 Welke schriftelijke procedures zijn er met betrekking tot de bijhouding van de BRP?
Antwoord □ Vaststellen van de identiteit
Bronverwijzing Wet BRP 2.4 - 2.19 2.20 - 2.21 - 2.55 2.59 Circulaire Legalisatie en verificatie
□ Inschrijven in de BRP
buitenlandse Wet BRP 2.2 - 2.3 2.4 - 2.5 - 2.6 LO 3.2 BIG 10.7.3
□ Actualiseren van gegevens
LO 3 BIG 10.7.3
□ Onderzoeken juistheid van gegevens
LO 3.22 BIG 10.7.3
□ Corrigeren van gegevens
LO 4.4 BIG 10.7.3
□ Verwijderen van gegevens
Wet BRP 2.57 LO 3 BIG 10.7.3
Toelichting In het beleid is de norm bepaald. In een procesbeschrijving legt u naast de taken, verantwoordelijkheden en bevoegdheden vast wie, wat op welk moment uitvoert.
□ Er zijn geen procedures met betrekking tot bijhouding van de BRP
16
NR Vraag Waarborgen voor actualiteit procedures 17 Welke acties zijn het afgelopen jaar ondernomen om de actualiteit van de procedures te toetsen?
Antwoord
Bronverwijzing
Toelichting
□ Er is gecontroleerd of de uitvoering nog overeenkomt met de procesbeschrijving
BIG 15.1.1
Een regelmatige controle of de procedures nog steeds aansluiten bij de werkelijkheid is dan ook noodzakelijk.
□ Er is gecontroleerd of er wijzigingen in taken, verantwoordelijkheden en bevoegdheden zijn
BIG 15.1.1
□ Er is gecontroleerd of er wijzigingen in de BIG 15.1.1 regelgeving zijn die van invloed op de procedure zijn □ Indien nodig is de procedurebeschrijving BIG 15.1.1 geactualiseerd □ Er zijn geen acties ondernomen om de actualiteit van de procedures te toetsen
17
NR Vraag Brondocumenten 18 Welk beleid hanteert u voor het controleren van buitenlandse brondocumenten
Antwoord
Bronverwijzing
O Alle originele buitenlandse brondocumenten worden gecontroleerd op echtheidskenmerken, legalisatie en verificatie
HUP 3.5/ Circulaire legalisatie en verificatie buitenlandse bewijsstukken HUP 3.5/ Circulaire legalisatie en verificatie buitenlandse bewijsstukken
O Alleen van vooraf bepaalde landen worden de originele buitenlandse brondocumenten gecontroleerd op echtheidskenmerken, legalisatie en verificatie O De kopieen van de brondocumenten worden gecontroleerd op echtheidskenmerken, legalisatie en verificatie 19 Wordt er verschil gemaakt in de controle van brondocumenten bij een inschrijving of bij een actualisering/correctie?
Toelichting
HUP 3.5/ Circulaire legalisatie en verificatie buitenlandse bewijsstukken
O Nee, er wordt geen verschil gemaakt in het gebruik van de brondocumenten O Ja, bij een inschrijving worden de brondocumenten zorgvuldiger gecontroleerd dan bij een actualisering/correctie O Ja, bij een actualisering/correctie worden de brondocumenten zorgvuldiger gecontroleerd dan bij een inschrijving
18
Processen De vragen in dit gedeelte richten zich specifiek op de uitvoering van de werkzaamheden. In wet- en regelgeving is, soms zelfs zeer gedetailleerd, vastgelegd hoe het werkproces moet verlopen. De vragenlijst volgt zoveel mogelijk het verloop van het proces. Processen definiëren de werkzaamheden. Een proces hoeft nog niet een beschreven procedure te zijn. Als met kennis van zaken het proces op de juiste wijze wordt uitgevoerd dan is daarmee voldaan aan wet- en regelgeving en het lokale beleid. In de praktijk blijkt het echter van grote waarde om de gewenste processen vast te leggen in procedures of procesbeschrijvingen. Het doel hiervan is om een organisatie, die bestaat uit mensen met verschillende competenties, te helpen bij een juiste uitvoering. De overheid moet betrouwbaar zijn en aan de kwaliteit en rechtmatigheid van geleverde producten of diensten mag niet worden getwijfeld. Het beschrijven van processen op lokaal niveau biedt waarborgen voor eenvormigheid in uitvoering, gelijkheid in behandeling en garanties voor de kwaliteit van producten en diensten. In een procedure of procesbeschrijving is veelal ook de norm opgenomen die moet worden behaald. Deze norm leent zich vervolgens als basisinstrument voor het controleren van de gerealiseerde doelen. NR Vraag Foutmeldingen 20 Volgt u bij de ontvangst of verwerking van een protocolfout of ander foutbericht altijd de juiste procedure zoals beschreven in het Logisch ontwerp 3.8? Bewaken integriteit 21 Welke norm wordt gehanteerd om de inhoudelijke kwaliteit van de in de basisregistratie opgenomen gegevens waar uw college verantwoordelijk voor is te toetsen?
Antwoord
Bronverwijzing
O Ja O Nee
LO III 1.4 - III.2
O Er is een gemeente specifieke norm schriftelijk vastgesteld die hoger is dan de norm genoemd in de Kwaliteitsmonitor BRP
BIG 5.1.1
Toelichting
Het is mogelijk om een hogere norm dan de norm zoals genoemd in de Kwaliteitsmonitor te hanteren
O De norm die is genoemd in de Kwaliteitsmonitor BRP wordt als ondergrens gehanteerd O Er wordt geen norm gehanteerd
19
NR Vraag Antwoord 22 Heeft u in uw (jaar)plan activiteiten O Ja opgenomen om deze norm te halen cq O Nee te behouden? 23 Hoe wordt de identiteit vastgesteld bij □ Aan de hand van een geldig persoonlijke aangifte/aanvraag? identiteitsbewijs □ De echtheidskenmerken van een identiteitsbewijs worden altijd gecontroleerd □ De foto op het identiteitsbewijs wordt vergeleken met de persoon □ Een door de aanvrager geplaatste handtekening wordt vergeleken met de handtekening op het identiteitsbewijs
Bronverwijzing BIG 5.1.1
Toelichting
Geldige identiteitsbewijzen zijn opgenomen in artikel 1 van de Wet op de Identificatieplicht
□ De persoonsgegevens van het identiteitsbewijs worden, indien mogelijk, vergeleken met de gegevens in de BRP □ Bij het ontbreken van een geldig identiteitsbewijs aan de hand van identificerende vragen
20
NR Vraag
Antwoord □ Bij het ontbreken van een geldig identiteitsbewijs worden andere identificerende documenten voorzien van een foto en handtekening gevraagd
Bronverwijzing
Toelichting
□ Indien er twijfel bestaat over de identiteit wordt een onderzoek ingesteld (bijv. overlegging geboorteakte of aanvraagformulier eerder uitgereikt document) □ Geen van de genoemde controles 24 Hoe wordt de identiteit vastgesteld bij □ Aan de hand van een geldig schriftelijke aangifte/aanvraag? identiteitsbewijs □ De echtheidskenmerken van een identiteitsbewijs worden, voor zover mogelijk, altijd gecontroleerd
Geldige identiteitsbewijzen zijn opgenomen in artikel 1 van de Wet op de Identificatieplicht Voor zover mogelijk vanaf de kopie
□ Een door de aanvrager geplaatste handtekening wordt vergeleken met de handtekening op het identiteitsbewijs □ De persoonsgegevens van het identiteitsbewijs worden, indien mogelijk, vergeleken met de gegevens in de BRP
21
NR Vraag
Antwoord
Bronverwijzing
Toelichting
□ Indien er twijfel bestaat over de identiteit wordt een onderzoek ingesteld (bijv. overlegging geboorteakte of aanvraagformulier eerder uitgereikt document)
25 Welke acties voert u uit om de volledigheid van gegevensverwerking te controleren?
□ Digitale aangifte kan alleen via DigiD plaatsvinden □ Geen van de genoemde controles □ Aan de hand van de brondocumenten worden alle mutaties gecontroleerd □ De burger krijgt altijd een ontvangstbevestiging en/of bericht over de verwerking
□ Geen van de genoemde acties 26 Welke onderdelen van de inschrijving- □ De invoer van gegevens en actualiseringprocessen zijn in □ De controle van de ingevoerde schriftelijke werkinstructies gegevens vastgelegd? □ Het wijzigen van de ingevoerde gegevens bij geconstateerde fouten □ Geen van de genoemde onderdelen / instructies
BIG 12.2.1
BIG 12.2.1
BIG 10.7.3 BIG 10.7.3 BIG 10.7.3
22
NR Vraag 27 Welke inschrijving- en actualiseringprocessen worden minimaal jaarlijks gecontroleerd op juiste uitvoering?
Antwoord □ Inschrijving
Bronverwijzing LO 2 BIG 10.7.3
□ Adreswijziging
LO 3.9 BIG 10.7.3 LO 3.9 BIG 10.7.3 LO 3.9 BIG 10.7.3 LO 3.2.8 BIG 10.7.3 LO 3.8.7 BIG 10.7.3
□ Vertrek naar buitenland □ Briefadres □ Naamgebruik □ Verstrekkingsbeperking (geheimhouding) □ Wijzigingen op grond van een Nederlandse akte
LO 3.2, 3.3, 3.4, 3.6, 3.7, 3.10 BIG 10.7.3
□ Wijzigingen op grond van een buitenlands brondocument
LO 3.2, 3.3, 3.4, 3.6, 3.7, 3.10 BIG 10.7.3
□ Nationaliteitswijzigingen
LO 3.5 BIG 10.7.3 LO 3.13 BIG 10.7.3
□ Reisdocumenten
Toelichting Niet alle mogelijke processen worden hier getoetst. Er is bij deze vraag gekozen voor een deel van alle werkprocessen. Met deze keuze ontstaat voldoende inzicht in de gegevensverwerking.
23
NR Vraag
Antwoord □ Gezag
Bronverwijzing LO 3.12 BIG 10.7.3
Toelichting
BIG 10.1.3
Alleen als u in 100% van de gevallen aan functiescheiding doet is het antwoord ja
□ Overige processen □ Geen van de genoemde processen wordt op juiste uitvoering gecontroleerd 28 Is er sprake van functiescheiding tussen de persoon die de gegevens verwerkt en de persoon die de verwerking controleert?
O Ja O Nee
29 Welke van de volgende actualiseringen □ Inschrijving cq. correcties worden binnen 1 werkdag na ontvangst van de aangifte □ Adreswijziging of het betrokken bericht verwerkt? □ Vertrek naar buitenland □ Briefadres □ Naamgebruik □ Verstrekkingsbeperking (geheimhouding) □ Wijzigingen op grond van een Nederlandse akte □ Wijzigingen op grond van een buitenlands brondocument
LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3
24
NR Vraag
Antwoord □ Nationaliteitswijzigingen □ Reisdocumenten □ Gezag □ Overige processen
Bronverwijzing LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3 LO 7.2 BIG 10.7.3
Toelichting
□ Geen van de genoemde actualiseringen cq. correcties 30 Welke beschrijving wordt gebruikt voor het opnemen van buitenlandse brondocumenten op de PL?
O De omschrijving of afkorting zoals beschreven in bijlage 5 van de HUP eventueel met eigen aanvulling
HUP bijlage 5
O Aan de hand van een eigen systeem O Hiervoor zijn geen instructies Bijhoudingsprocedures 31 Welke elementen zijn verwerkt in uw procedures bijhouding van de BRP?
□ Gebruik maken van de meest sterke brondocumenten
Wet BRP 2.8 BIG 10.7.3
□ Gebruik maken van originele brondocumenten □ Kennis geven van recht op verstrekkingsbeperking bij aangifte van verblijf en adres
Wet BRP 2.8 BIG 10.7.3 Wet BRP 3.21 BIG 10.7.3
25
NR Vraag
Antwoord □ Inschrijving gepriviligieerden
Bronverwijzing Wet BRP 2.4 Brief BPR20130000746305/6-122013 BIG 10.7.3
□ Toezenden persoonslijst binnen 4 weken bij inschrijving aan burger □ Toezenden van de hoofdlijnen en regels BRP bij inschrijving
Wet BRP 2.54 BIG 10.7.3 Wet BRP 2.54 BIG 10.7.3
□ Verwerking terugmelding
Wet BRP 2.34 Brief BPR20130000746307/1811-2013 BIG 10.7.3
Toelichting
□ Beleidsregels voor bestuurlijke boete Wet BRP 4.17 Brief BPR20130000746304/1811-2013 BIG 10.7.3 □ Beleidsregels voor briefadressen
Wet BRP 2.23 Brief BPR20130000746309/ 0000746310/6-122013 BIG 10.7.3
26
NR Vraag
Verstrekken 32 Welke elementen zijn verwerkt in uw procedure verstrekkingen?
Antwoord □ Er is geen procedure of geen van bovengenoemde elementen zijn verwerkt in onze procedures
Bronverwijzing
□ Op welke wijze een verzoek moet worden ingediend
Wet BRP 3.9 BIG 10.7.3
Toelichting
□ De minimale inhoud van het verzoek Wet BRP 3.9 BIG 10.7.3 □ De criteria om een afweging te maken bij verstrekkingen (incl. verzoeken waarbij sprake is van verstrekkingsbeperking)
Wet BRP 3.21 BIG 10.7.3
□ Het onmiddellijk informeren van de burger wanneer, ondanks de aantekening vertrekkingsbeperking,
Wet BRP 3.21 BIG 10.7.3
□ Een toets aan de verordening c.q. het onderliggende reglement
Wet BRP 3.9 BIG 10.7.3
27
NR Vraag
Antwoord □ De regels omtrent protocollering
Bronverwijzing Wet BRP 3.11 LO 4.2 BIG 10.7.3
Toelichting
□ Er is geen procedure of geen van bovengenoemde elementen zijn verwerkt in onze procedure Onderzoeken 33 Heeft u een procedure over het in onderzoek zetten van gegevens?
O Ja O Nee
34 Welke van de volgende elementen zijn □ De wijze waarop melding kan verwerkt in uw worden gedaan van afwijkende onderzoeksprocedures? persoonsgegevens
Wet BRP 2.34 Brief BPR20130000746307/1811-2013 BIG 10.7.3
□ De verantwoordelijke voor het ontvangen van de melding
BIG 10.7.3
□ De verantwoordelijke voor het verwerken van de melding
BIG 10.7.3
□ De termijn waarbinnen het onderzoek moet zijn afgedaan
LO 3.25.2 Brief BPR20120000306839 BIG 10.7.3
□ De wijze waarop de melder wordt bericht dat het onderzoek is afgedaan
Brief BPR20120000306839 BIG 10.7.3
28
NR Vraag
Antwoord □ De wijze waarop overheidsorganen worden bericht over een afgerond onderzoek
Bronverwijzing Brief BPR20120000306839 BIG 10.7.3
□ De wijze waarop de termijnen van het onderzoek worden bewaakt □ De inhoud van het onderzoeksdossier
BIG 10.7.3
□ In onderzoek zetten van gegevens □ Onderzoeksgegevens beëindigen
Toelichting
LO 3.25.2 Brief BPR20120000306839 BIG 10.7.3 LO 3.22.2 - 3.22.4 BIG 10.7.3 LO 3.22.2 - 3.22.4 BIG 10.7.3
□ Er is geen procedure of geen van bovengenoemde elementen zijn verwerkt in onze procedure 35 Welke activiteiten voert u uit om toezicht te houden op het nakomen van de verplichtingen van de burger?
□ Bij de aangifte van verblijf en adres wordt altijd gecontroleerd of het aantal ingeschreven personen op het oude adres overeenkomt met de opgave van de burger □ Bij de aangifte van verblijf en adres wordt altijd gecontroleerd of het aantal ingeschreven personen op het nieuwe adres overeenkomt met de opgave van de burger
Circulaire GBA en woonfraude BPR2008/53739
QB43BPR2008/51872
29
NR Vraag
Antwoord □ Er wordt in bepaalde gevallen gecontroleerd of de feitelijke situatie overeenkomt met de administratieve □ Er wordt periodiek gecontroleerd of briefadreshouders nog steeds geen woonadres hebben □ Er wordt in bepaalde gevallen een bestuurlijke boete opgelegd □ Geen van de genoemde activiteiten
Inzage 36 Welke elementen zijn verwerkt in uw procedure inzagerecht?
Bronverwijzing QB43BPR2008/51872
Toelichting bv Leegstandcontrole
Circulaire BPR20130000746309/ 0000746310/6-122013 Handreiking bestuurlijke boete
□ Een ingeschrevene wordt inzage verleend of verkrijgt een afschrift
Wet BRP 2.55 3.22 BIG 10.7.3 □ De inzage kan worden verleend in de Wet BRP 2.55 persoonsgegevens, de oorsprong 3.22 hiervan en de verstrekkingen BIG 10.7.3 □ Het verzoek wordt binnen 4 weken afgedaan □ De mededeling over verstrekkingen wordt schriftelijk afgedaan
Wet BRP 2.55 3.22 BIG 10.7.3 Wet BRP 3.22 BIG 10.7.3
30
NR Vraag
Antwoord □ Er wordt geen mededeling over verstrekkingen gedaan voor zover dit noodzakelijk is in het belang van de veiligheid van de staat of de voorkoming, opsporing en vervolging van strafbare feiten.
Bronverwijzing Wet BRP 3.22 BIG 10.7.3
Toelichting
□ Het verzoek wordt binnen 4 weken afgedaan
Wet BRP 2.59 BIG 10.7.3
Verstrekkingsbeperking was onder de GBA geheimhouding.
□ Jaarlijks wordt het recht op verstrekkingsbeperking gepubliceerd
Wet BRP 3.21, lid 5 BIG 10.7.3
□ Er is geen procedure of geen van de genoemde elementen is opgenomen
Verstrekkingsbeperking 37 Welke elementen zijn in de procedure verstrekkingsbeperking opgenomen?
□ De criteria om te kunnen bepalen of Wet BRP 3.21, lid 2 de persoonlijke levenssfeer van een BIG 10.7.3 persoon onevenredig zou worden geschaad indien in afwijking van artikel 3.21 lid 1 gegevens worden verstrekt
31
NR Vraag
Protocolleren 38 Welke elementen zijn in de procedure protocollering opgenomen?
Antwoord □ Er is geen procedure of geen van de genoemde elementen is opgenomen
Bronverwijzing
□ Niet op andere wijze te herleiden verstrekkingen worden geprotocolleerd
Wet BRP 3.11 Besluit BRP 42 LO 4.2.1 BIG 10.7.3
Toelichting
□ Minimaal kan achterhaald worden Wet BRP 3.11 door wie, over wie, welke gegevens op Besluit BRP 42 welke datum aan wie zijn verstrekt LO 4.2.1 BIG 10.7.3 □ Er is geen procedure of geen van de genoemde elementen is opgenomen Brondocumenten 39 Wordt bij de beoordeling van O Ja buitenlandse brondocumenten gebruik O Nee gemaakt van controleapparatuur, retroviewer, of DISCS/Edison? 40 Hoe vaak wordt gebruik gemaakt van controleapparatuur?
O Bij de beoordeling van alle buitenlandse reisdocumenten
41 Hoe vaak wordt gebruik gemaakt van de retroviewer?
O In geval van twijfel O Zelden O Bij de beoordeling van alle buitenlandse documenten O In geval van twijfel
32
NR Vraag 42 Hoe vaak wordt gebruik gemaakt van DISCS/Edison?
43 Welke externe expertise wordt gebruikt bij de beoordeling van buitenlandse brondocumenten?
44 Wanneer wordt gebruik gemaakt van de IND bij de beoordeling van buitenlandse brondocumenten?
Antwoord O Zelden O Bij de beoordeling van alle buitenlandse documenten O In geval van twijfel O Zelden □ IND (opsturen documenten) □ Adviesbureau NVVB □ Andere gemeente □ Externe inhuur □ Geen
Bronverwijzing
Toelichting
O Bij de beoordeling van brondocumenten uit bepaalde landen O In geval van twijfel O Bij de beoordeling van alle buitenlandse documenten O Nooit
Gegevens
33
Bij de totstandkoming van producten en diensten wordt gebruik gemaakt van gegevens. Gegevens die doorgaans beschikbaar zijn binnen de eigen gemeentelijke organisatie, maar ook worden verkregen uit andere bronnen. Gegevens zijn de spil in een informatieverwerkend ‘bedrijf’ als een gemeente. De gemeente heeft de verantwoordelijkheid om in de kwaliteit van die gegevens en de bescherming van de vertrouwelijkheid te voorzien. De vragen in dit gedeelte richten zich op het reguleren van de toegang tot die gegevens. Is toegang en daarmee kennisname van informatie goed geregeld en ook noodzakelijk voor de functie? Het gaat hierbij niet alleen om gegevens die worden beheerd in geautomatiseerde systemen. Ook informatie en gegevens die zijn opgeslagen op gegevensdragers zoals tapes, CD’s en zeker ook papier in de vorm van (bron)documenten behoren hiertoe. NR Vraag Antwoord Bronverwijzing Toelichting De toegang tot gegevens 45 Welke geautoriseerden hebben □ Medewerkers in dienst van de Besluit BRP 6 Er mag geen gebruik worden gemaakt uitsluitend individueel toegang tot de gemeente BIG 11.1.1 van groepsaccounts. Met gemeentelijke voorziening? gemeentelijke voorziening wordt de 'oude' GBA-applicatie bedoeld. □ Inhuurmedewerkers Besluit BRP 6 BIG 11.1.1 □ De leverancier Besluit BRP 6 BIG 11.1.1 □ Er wordt (ook) gebruik gemaakt van groepsaccounts NR Vraag 46 Welke elementen zijn in de procedure autorisatietoekenning opgenomen?
Antwoord □ Er is vastgelegd wie autorisaties toe mag kennen
Bronverwijzing Besluit BRP 6 BIG 11.2
□ Verzoeken om autorisatie kunnen uitsluitend schriftelijk gedaan worden
Besluit BRP 6 BIG 11.2
□ Verzoeken om autorisatie worden geadministreerd
Besluit BRP 6 BIG 11.2
Toelichting
34
□ Gebruikers verklaren de autorisatie niet aan een ander ter beschikking te stellen
Besluit BRP 6 BIG 11.2
□ Gebruikers tekenen een geheimhoudingsverklaring □ Dat de verstrekte persoonlijke identificaties tot het BRP systeem periodiek worden gecontroleerd op geldigheid en actualiteit van de autorisaties
Besluit BRP 6 BIG 11.2 Besluit BRP 6 BIG 11.2
□ Er is geen procedure of geen van de genoemde elementen is opgenomen
35
NR Vraag 47 Welke voorwaarden zijn aan de wachtwoorden gesteld om toegang te krijgen tot de gemeentelijke voorziening?
48 Wordt de BRP gebruikt op locaties buiten het gemeentehuis? 49 Is hiervoor beleid ontwikkeld?
Antwoord □ Wachtwoorden bestaan uit minimaal 8 hoofdletter, 1 cijfer en 1 vreemd teken □ Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden
Bronverwijzing BIG 11.2.3
□ Tijdelijke of standaardwachtwoorden worden bij het eerste gebruik vervangen
BIG 11.2.3
□ Het wachtwoord is alleen bij de gebruiker bekend
BIG 11.2.3
BIG 11.2.3
□ Aan geen van de hiervoor genoemde voorwaarden wordt voldaan O Ja BIG 11.7 O Nee O Ja O Nee
Toelichting Met gemeentelijke voorziening wordt de 'oude' GBA-applicatie bedoeld.
BIG 11.1.1
Hier wordt ook bedoeld de deelgemeentekantoren, stadskantoren ect.
36
NR Vraag 50 Welke maatregelen zijn getroffen als de BRP wordt gebruikt op locaties buiten het gemeentehuis?
Antwoord O Technische, organisatorische en fysieke maatregelen
Bronverwijzing Besluit BRP 6 BIG 11.1.1
O Technische en fysieke maatregelen
Besluit BRP 6 BIG 11.1.1 Besluit BRP 6 BIG 11.1.1 Besluit BRP 6 BIG 11.1.1
O Technische en organisatorische maatregelen O Fysieke en organisatorische maatregelen O Er zijn geen specifieke eisen voor de beveiliging van andere locaties 51 Wordt toegang tot de BRP aan externe O Ja partijen verleend? O Nee 52 Op welke wijze is toegang tot de BRP voor externe partijen geregeld?
□ De gemeente neemt het initiatief voor het gebruik □ De handelingen van de externe partijen worden gelogd □ De externe partij heeft binnen het gemeentehuis toegang tot datafaciliteiten
Toelichting Voorbeelden: het gebruik van een token en een beveiligde netwerkverbinding (technisch). Procedures voor het beschermen van informatie op andere locaties (organisatorisch). Een deugdelijke, afsluitbare bergplaats voor gevoelige informatie (fysiek).
Dit betreft meestal de leverancier Besluit BRP 6 BIG 11.4.2 Besluit BRP 6 BIG 11.4.2 Besluit BRP 6
Dit betreft meestal de leverancier
37
NR Vraag
Antwoord □ De externe partij maakt gebruik van datacommunicatiefaciliteiten (toegang op afstand en support via internet) □ De datacommunicatiefaciliteiten worden na gebruik direct uitgeschakeld
□ Geen van het bovengenoemde 53 Wat is het resultaat (of: de uitkomst) □ Alle autorisaties zijn van de dit jaar uitgevoerde controle op persoonsgebonden de autorisaties?
Bronverwijzing Besluit BRP 6 BIG 11.4.2
Toelichting
Besluit BRP 6 BIG 11.4.2
Besluit BRP 6 BIG 11.4.2
□ De autorisaties aan gebruikers en/of Besluit BRP 6 overkoepelende registraties zijn BIG 11.4.2 terecht verleend □ De autorisaties aan verwerkers zijn terecht verleend □ De autorisatie voor gebruikers BRP en/of overkoepelende registratie worden niet misbruikt
Besluit BRP 6 BIG 11.4.2 Besluit BRP 6 BIG 11.4.2
□ De profielen en/of overkoepelende Besluit BRP 6 registratie stemmen overeen met de BIG 11.4.2 toegekende rechten in de verordening □ Geen van de genoemde resultaten □ We hebben geen controle uitgevoerd 54 Heeft u het afgelopen jaar de logfiles gecontroleerd op pogingen tot
□ Ja, op pogingen tot onrechtmatige toegang
Besluit BRP 6 BIG 10.10
38
NR Vraag onrechtmatige toegang cq. controles op inschrijving en actualisering?
55 Worden de logfiles minimaal bewaard volgens de BIG-normen (minimaal 3 maanden en bij een (vermoed) incident minimaal 3 jaar)?
Antwoord □ Ja, op de uitvoering van de inschrijving- en actualiseringsprocedures □ Nee □ Ja, de logfiles betreffende het verkrijgen van toegang worden bewaard volgens de BIG-normen
□ Ja, de logfiles betreffende de uitvoering van de inschrijving- en actualiseringsprocedures worden bewaard volgens de BIG -normen □ Nee
Bronverwijzing Besluit BRP 6 BIG 10.10, 13.1.1
Toelichting
Besluit BRP 6 LO 4.2 BIG 10.10
Op 29 november 2013 is de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aangenomen. Dit betekent dat iedere gemeente onderschrijft informatieveiligheidsbeleid vast te stellen aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die eerder dit jaar is ontwikkeld door de IBD.
Besluit BRP 6 LO 4.2 BIG 10.10
Het zeker stellen van gegevens 56 Maakt u periodiek een back-up van de O Ja in de lokale voorziening opgenomen O Nee gegevens?
LO 7.4.1 BIG 10.5
57 Hoe vaak worden gegevens op een externe gegevensdrager opgeslagen?
LO 7.4.1 BIG 10.5
O Dagelijks O Wekelijks O Maandelijks O Geen van bovenstaande
39
NR Vraag 58 Waar wordt de fysieke back-up opgeslagen?
Antwoord O Op een interne locatie
O Op een externe locatie 59 Welke controles ten aanzien van back- □ Het juiste verloop van het ups worden uitgevoerd? kopieerproces wordt gecontroleerd □ Er wordt gecontroleerd of gegevens kunnen worden teruggelezen
Bronverwijzing LO 7.4.1 BIG 10.5 BIG 10.5 BIG 10.5
Toelichting
BIG 10.5
□ Er worden geen controles uitgevoerd 60 Is het afgelopen jaar getest of u de back-up terug kunt plaatsen met als resultaat een goed werkende applicatie gevuld met data van het moment van de back-up?
O Ja, en daar is over aan het management gerapporteerd O Ja, maar daarover is niet aan het management gerapporteerd O Nee 61 Welke bronnen zijn voor het O Alle papieren brondocumenten, reconstrueren van de periode tussen mutatieverslagen van wijzigingen de laatste back-up en het moment van waarvan geen brondocument herstel beschikbaar? benodigd is en alle opnieuw te verwerken berichten
BIG 14.1.5
O Een bestand met data van de betreffende periode op een andere locatie
LO 7.4.1 BIG 14.1.5
O Alle mutatieverslagen van de betreffende periode op papier
LO 7.4.1 BIG 14.1.5
BIG 14.1.5
LO 7.4.1 BIG 14.1.5
O Geen van bovengenoemde bronnen
40
NR Vraag 62 Worden de gegevens met behulp van een beveiligde netwerkverbinding real-time overgebracht naar een externe locatie? 63 Is het afgelopen jaar getest of u alle gegevens kunt reconstrueren?
64 Kunt u binnen één werkdag een volledige reconstructie uitvoeren? 65 Op welke manier kunt u technisch uitwijken?
Antwoord O Ja O Nee
Bronverwijzing LO 7.4.1 BIG 10.5
O Ja, en daar is over aan het management gerapporteerd
LO 7.4.1 BIG 14.1.5
O Een bestand met data van de betreffende periode op een andere locatie O Alle mutatieverslagen van de betreffende periode op papier O Geen van bovengenoemde bronnen O Ja O Nee
LO 7.4.1 BIG 14.1.5
O Er is een actueel uitwijkcontract
LO 7.4.1 BIG 14.1.3 LO 7.4.1 BIG 14.1.3
O De gemeente beschikt over een externe nevenlocatie waarin een uitwijkconfiguratie beschikbaar wordt gehouden O Geen van genoemde oplossingen is van toepassing
66 Beschikt u over een schriftelijk en O Ja, het is actueel en vastgesteld vastgesteld uitwijkdraaiboek om terug te kunnen vallen op een 'reserve' informatiesysteem? O Ja, het is actueel, maar niet
Toelichting Mirroring, gebruik maken van een gespiegelde omgeving, waarbij een tweede site real-time meedraait
LO 7.4.1 BIG 14.1.5 LO 7.4.1 BIG 14.1.2
LO 7.4.1 BIG 14.1.3
LO 7.4.1
41
NR Vraag
67 Is het afgelopen jaar getest of u technisch kunt uitwijken?
Antwoord vastgesteld
Bronverwijzing BIG 14.1.3
O Ja, het is vastgesteld, maar niet actueel O Nee O Ja, en daar is over aan het management gerapporteerd O Ja, maar daarover is niet aan het management gerapporteerd O Nee O Ja O Nee
LO 7.4.1 BIG 14.1.3
68 Bewaart u de brondocumenten gedurende de termijn als opgenomen in bijlage 6 bij de Regeling Basisregistratie Personen? Bewerker 69 Worden technische of administratieve O Ja werkzaamheden in de BRP uitgevoerd O Nee door een bewerker?
70 Zijn er afspraken met de bewerker vastgelegd in een overeenkomst? 71 Welke maatregelen en eisen zijn in de hiervoor bedoelde overeenkomst opgenomen?
O Ja O Nee □ Maatregelen gericht op medewerkers □ Maatregelen gericht op de toegang tot gebouwen en ruimten
Toelichting
LO 7.4.1 BIG 14.1.5 LO 7.4.1 BIG 14.1.5 Regeling BRP4
Wet BRP 1.10, lid 2 Bewerker: degene die ten behoeve van BIG 6.2 de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Zie Wbp artikel 1 Besluit BRP 7 BIG 6.2.1 Besluit BRP 9 BIG 6.2 Besluit BRP 9
42
NR Vraag
72 Hoe is het afgelopen jaar getoetst of de bewerker de afgesproken
Antwoord Bronverwijzing □ Maatregelen gericht op een Besluit BRP 9 deugdelijke werking van de apparatuur en programmatuur □ Maatregelen gericht op de beveiliging van de apparatuur en programmatuur
Besluit BRP 9
□ Maatregelen gericht op het gegevensbeheer □ Maatregelen ingeval van schending van de geheimhouding □ Maatregelen ingeval van calamiteiten □ Gebruik van gegevens uitsluitend voor de afgesproken werkzaamheden □ De bewerker houdt zich aan de wettelijke voorschriften □ De bewerker staat toe dat de gemeente controles uitvoert □ Werkzaamheden worden opgeschort op vordering van de gemeente □ Werkzaamheden worden zonder toestemming van de gemeente door de bewerker niet uitbesteed □ Geen van bovengenoemde maatregelen en eisen
Besluit BRP 9
O Er is een intern door de gemeente zelf een controle uitgevoerd
Besluit BRP 8 BIG 6.2
Toelichting
Besluit BRP 9 Besluit BRP 9 Besluit BRP 9 Besluit BRP 9 Besluit BRP 9 Besluit BRP 9 Besluit BRP 9
43
NR Vraag maatregelen heeft getroffen en zich houdt aan de gestelde eisen?
Antwoord O Een extern deskundige heeft een toets uitgevoerd O De bewerker heeft een toets uit laten voeren en de resultaten meegedeeld
Bronverwijzing Besluit BRP 8 BIG 6.2 Besluit BRP 8 BIG 6.2
Toelichting
O Er is niet getoetst Brondocumenten 73 Van welke (papieren of digitale) bronnen wordt gebruik gemaakt in het kader van de verwerking van brondocumenten?
74 Worden alle verwerkingen van buitenlandse brondocumenten gecontroleerd?
□ Kennisbank van Reed Business of Kluwer □ NVVB Werkprocessen □ HUP Hoofdstuk 3 □ (Eigen) werkprocedures □ Geen van bovenstaande O Ja, door een andere medewerker van de afdeling O Ja, door een andere medewerker van een andere afdeling O Ja, door een externe O Nee, of alleen door de zelfde medewerker als die de mutatie heeft ingevoerd
75 Worden de originele brondocumenten O Ja, deze worden altijd ingenomen en (niet zijnde reisdocumenten) pas weer geretourneerd na verwerking ingenomen voor de beoordeling? en controle O Ja, maar alleen van documenten uit bepaalde landen O Ja, maar alleen in geval van twijfel
44
NR Vraag
Antwoord O Nee, het document wordt bij de behandeling gelijk beoordeeld en gecontroleerd en meteen teruggegeven
Bronverwijzing
Toelichting
O Nee, er wordt een kopie gemaakt en deze wordt verwerkt en gecontroleerd 76 Welke activiteiten heeft u het afgelopen jaar ondernomen om het sterkst mogelijke brondocument in uw administratie op te nemen?
□ Er wordt bijgehouden welke personen nog een brondocument moeten inleveren □ Burgers worden periodiek aangeschreven als een sterker brondocument mogelijk is □ Gegevens worden in onderzoek gezet als een (sterker) brondocument nog ingeleverd kan worden □ Geen van de genoemde activiteiten
45
Personeel De wet- en regelgeving en het gemeentelijk beleid stellen eisen aan de kwaliteit van de te leveren producten. Dit heeft een directe relatie met de kennis en vaardigheden van medewerkers die verantwoordelijk zijn voor de uitvoering van de processen. De gegevens en de te leveren producten bij een gemeente hebben een intrinsiek hoge financiële waarde in het economisch verkeer. Het verkrijgen van een identiteit, een document of een andere rechtshandeling, deze vertegenwoordigen allemaal een zekere waarde. Dit stelt dan ook bijzondere eisen aan medewerkers in dit proces. Naast kennis en vaardigheden komt ook betrouwbaarheid in beeld. De betrouwbaarheid van een medewerker kan op verschillende niveaus worden beoordeeld. Met behulp van een verklaring omtrent het gedrag kan een beeld worden verkregen van een eventueel strafrechtelijk verleden in relatie tot de functie. Het toekennen van autorisaties om te bepalen wat een medewerker wel en wat deze niet mag in informatiesystemen draagt bij aan het bewaken van de gewenste betrouwbaarheid. Het scheiden van taken en functies zodat altijd meer dan één persoon in een risicovol proces is betrokken, zorgt voor preventie van en bemoeilijkt ongewenst gedrag. Het gedrag van de medewerker en bovenal ook het bewust zijn van mogelijke risico’s is misschien wel één van de belangrijkste peilers in de betrouwbaarheid. Medewerkers zijn zich vaak niet in eerste instantie bewust van de mogelijke risico’s en de mogelijke gevolgen voor hen persoonlijk. NR Vraag De toekenning van bevoegdheden 77 Welke functionarissen zijn door het college aangewezen, of zijn de rollen van deze functies belegd?
Antwoord
Bronverwijzing
□ Systeembeheerder
LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 Wet BRP 4.2
□ Applicatiebeheerder BRP □ Gegevensbeheerder BRP □ Privacybeheerder BRP □ Toezichthouder □ Geen van bovenstaande
Toelichting
46
NR Vraag 78 Voor welke functionarissen of rollen zijn door het college vervangers aangewezen?
79 Voor welke functionarissen of rollen zijn de bevoegdheden vastgelegd?
Antwoord □ Systeembeheerder □ Applicatiebeheerder BRP
Bronverwijzing LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3
□ Gegevensbeheerder BRP
LO 7.4.5 BIG 6.1.3
□ Privacybeheerder BRP
LO 7.4.5 BIG 6.1.3
□ Toezichthouder □ Er heeft geen formele aanwijzing plaatsgevonden
Wet BRP 4.2
□ Systeembeheerder
LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 LO 7.4.5 BIG 6.1.3 Wet BRP 4.2 Besluit BRP 6 BIG 8.1.1 Besluit BRP 6 BIG 8.1.1
□ Applicatiebeheerder BRP □ Gegevensbeheerder BRP □ Privacybeheerder BRP □ Toezichthouder □ De gegevensverwerkers BRP □ De gebruikers van de BRP
Toelichting
47
NR Vraag
Antwoord □ De bevoegdheden zijn niet vastgelegd
Bronverwijzing
Toelichting
80 Is er door het college een controller informatiebeveiliging aangewezen, of is deze rol belegd?
O Ja, inclusief vervanger
BIG 3.1, 6.1.2
Dit is de controller van het beveiligingsproces, in de GBA was dit de beveiligingsbeheerder.
O Ja, maar geen vervanger O Nee 81 Is er een informatiebeheerder BRP voor de lokale voorziening aangewezen, of is deze rol belegd?
O Ja, inclusief vervanger
LO 7.4.5 BIG 6.1.3 Het college is aangewezen als verantwoordelijke voor de uitvoering van de wet. In de praktijk wordt deze functie (zorg dragen voor de vertrouwelijkheid en integriteit van de gegevens van de basisregistratie) bijna altijd ingevuld door het hoofd Burgerzaken of Publiekszaken. Het is dan ook aan te bevelen een informatiebeheerder BRP voor de lokale voorzieningen en een vervanger aan te wijzen in bijvoorbeeld een Regeling voor het Beheer.
O Ja, maar geen vervanger O Nee
48
NR Vraag 82 Heeft uw gemeente medewerkers aangewezen voor het afnemen van verklaringen onder ede?
Beveiligingscompetenties 83 Welke maatregelen zijn getroffen ten aanzien van medewerkers met mutatiebevoegdheden in de BRP?
Antwoord O Ja O Nee
Bronverwijzing Wet BRP 2.8, lid 2 onder e
□ In de aanstellingsprocedure zijn waarborgen opgenomen voor de integriteit
Besluit BRP 6 BIG 8.1
□ Bij aanstelling wordt een verklaring omtrent gedrag verlangd van vaste medewerkers
Besluit BRP 6 BIG 8.1.2
Toelichting
□ Bij aanstelling wordt een verklaring Besluit BRP 6 omtrent gedrag verlangd van tijdelijke BIG 8.1.2 medewerkers (stage/detachering/inhuur) □ Geen van de bovengenoemde maatregelen 84 Welke maatregelen worden genomen ten aanzien van medewerkers met raadpleegbevoegdheden in de BRP en/of de overkoepelende of afgeleide registratie?
□ In de aanstellingsprocedure zijn waarborgen opgenomen voor de integriteit
BIG 8.1
□ Bij aanstelling wordt een geheimhoudingsverklaring verlangd van vaste medewerkers
BIG 8.1
49
NR Vraag
Antwoord □ Bij aanstelling wordt een geheimhoudingsverklaring verlangd van tijdelijke medewerkers (stage/detachering/inhuur)
Bronverwijzing BIG 8.1
Toelichting
□ Geen van de bovengenoemde maatregelen 85 Medewerkers worden bij de aanvang van de werkzaamheden geïnformeerd over hun werkzaamheden waarna zij hun taken op juiste wijze kunnen uitvoeren. Geef aan over welke onderwerpen u ze in ieder geval informeert:
□ De taken, verantwoordelijkheden en BIG 8.2.2 bevoegdheden die bij de functie behoren
□ De geldende procedures BIG 8.2.2 □ De mogelijke risico's en geldende BIG 8.2.2 richtlijnen om schade en incidenten te voorkomen □ De inhoud van de BRP of privacyverordening (evt. met onderliggende regeling)
BIG 8.2.2
□ De inhoud van de BRP of privacyverordening (evt. met onderliggende regeling)
50
NR Vraag 86 Wordt bij functioneringsgesprekken structureel gesproken over het nakomen van beveiligingsvoorschriften?
Antwoord O Ja O Nee
Bronverwijzing BIG 8.2.2
87 Welke onderdelen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft u bij de inrichting van uw informatievoorziening als leidraad gebruikt?
□ De informatie is geclassificeerd voor Wbp 8 het gebruik BIG 7.2
□ De informatie kent een eigenaar binnen de gemeente
BIG 7.2.1
□ Uitsluitend de eigenaar staat geoorloofd gebruik toe
BIG 7.2.1
□ De BIG is daarbij niet gebruikt 88 Welke maatregelen zijn getroffen voor □ Er is een procedure onrechtmatige het geval de vertrouwelijkheid van kennisneming waarin de sancties en gegevens wordt geschaad? vervolgacties zijn opgenomen □ In geval van schade veroorzaakt binnen de organisatie worden de maatregelen in de geldende rechtspositieregeling onverkort toegepast □ In geval van schade veroorzaakt binnen de organisatie wordt altijd aangifte gedaan bij de politie
Toelichting
Classificeren is het aanbrengen van gradaties van vertrouwelijkheid. Eigenaar is eindverantwoordelijke voor de gegevens
Besluit BRP 6 BIG 6.1.5 BIG 6.1.5
BIG 6.1.5
51
NR Vraag
Antwoord □ In geval van schade veroorzaakt buiten de organisatie wordt altijd aangifte gedaan bij de politie
Bronverwijzing BIG 6.1.5
□ Indien schade wordt geconstateerd wordt binnen 24 uur actie ondernomen □ Van de schade wordt altijd melding gedaan aan bij de privacybeheerder en/of de controller informatiebeveiliging □ Er zijn geen specifieke maatregelen getroffen
BIG 6.1.5
Toelichting
BIG 6.1.5
89 Op welke wijze is de vertrouwelijkheid □ Iedere medewerker ondertekent een Besluit BRP 6 gewaarborgd? individuele verklaring tot BIG 6.1.5 geheimhouding of legt de ambtseed of ambtsbelofte af □ De werkgever heeft vastgesteld wat Besluit BRP 6 onder integer gedrag wordt verstaan BIG 6.1.5 (gedragscode) en iedere medewerker verklaart schriftelijk zich aan deze code te houden. □ Ook externe en tijdelijke medewerkers ondertekenen een verklaring tot geheimhouding □ Er zijn geen specifieke maatregelen getroffen
Besluit BRP 6 BIG 6.1.5
Optimaliseren van risicobewustzijn
52
NR Vraag 90 Zijn medewerkers het afgelopen jaar geïnstrueerd over de mogelijke risico's en richtlijnen en procedures om schade en incidenten te voorkomen?
91 Zijn medewerkers het afgelopen jaar geïnstrueerd over de toepassing van de BRP verordening?
Antwoord O Ja, en zij hebben getekend voor kennisname van nieuwe of gewijzigde richtlijnen en procedures
Toelichting
O Ja, maar zij hebben niet getekend BIG 8.2.2 voor de kennisname O Nee O Ja, en zij hebben getekend voor BIG 8.2.2 kennisname over de toepassing van de BRP verordening O Ja, maar zij hebben niet getekend voor de kennisname O Nee
Vaststellen minimale kennis en vaardigheden 92 Zijn voor de uitvoering van de O Ja werkzaamheden de minimale kennis O Nee en vaardigheden schriftelijk vastgesteld? 93 Welke opleiding hebben de medewerkers die inschrijvingen behandelen gevolgd?
Bronverwijzing BIG 8.2.2
BIG 8.2.2
Besluit BRP 6 BIG 8.2.2
□ BOBZ, BABZ of ALO □ GBA/BRP-specialist □ IPR □ Workshop herkenning echtheidskenmerken □ Anders op het gebied van inschrijving/identificatie
53
NR Vraag
Antwoord □ Alleen interne training
Toetsen op behoud kennis en vaardigheden 94 Wordt per medewerker jaarlijks een O Ja bijscholingsprogramma vastgesteld? O Nee 95 Wat wordt gedaan aan het up-to-date houden van de kennis op het gebied van brondocumenten?
Bronverwijzing
Toelichting
Besluit BRP 6 BIG 8.2.2
□ Medewerkers volgen minimaal eens per 3 jaar een opfriscursus □ Medewerkers volgen jaarlijks actualiteitencolleges/kennisbijeenkom sten □ Medewerkers blijven geinformeerd via nieuwsbrieven etc □ Medewerkers worden gestimuleerd vakliteratuur bij te houden □ Niets
Toetsen op juiste uitvoering van taken 96 Is het afgelopen jaar getoetst op de juiste uitvoering van procedures door de medewerkers?
O Ja, door de leidinggevende
Besluit BRP 6 BIG 8.2.2 O Ja, door een inhoudelijk deskundige Besluit BRP 6 collega BIG 8.2.2 O Ja, door een inhoudelijk deskundige, Besluit BRP 6 externe partij BIG 8.2.2
54
NR Vraag
Antwoord O Nee
Bronverwijzing
Toelichting
55
Fysieke beveiliging De maatregelen die zijn getroffen om de personele betrouwbaarheid te waarborgen, richten zich vooral op de interne organisatie. Bij fysieke beveiliging wordt in eerste instantie gedacht aan bedreigingen van buitenaf. Fysieke maatregelen hebben echter ook een belangrijk positief effect op de beveiliging van de eigen organisatie. Fysieke beveiliging richt zich meer op de ‘harde’ maatregelen. Bouwkundige maatregelen hebben onder andere betrekking op deuren, sloten, kluizen en bescherming van ruiten. Elektrotechnische maatregelen betreffen meer de inbraakdetectie- en alarmeringssystemen. Beide technische voorzieningen zijn noodzakelijk en op onderdelen voorgeschreven. Overigens staan of vallen technische maatregelen met het op juiste wijze toepassen van deze maatregelen. Een inbraakdetectiesysteem zal niets detecteren als het niet op de juiste wijze en tijdig is ingeschakeld. De beste kluisdeur met de beste sloten zal geen beveiligingswaarde hebben als de deur op een kier wordt gezet met een stoel of een prullenbak. Organisatorische maatregelen zoals procedures en gebruiksvoorschriften bepalen dus de effectiviteit van technische voorzieningen. NR Vraag Planmatig beheersen van risico's 97 Zijn de ruimten voorzien van een toegangscontrolesysteem? 98 Welke toegangen zijn beveiligd met behulp van een toegangscontrolesysteem?
Antwoord
Bronverwijzing
O Ja O Nee
Besluit BRP 6 BIG 9.1.1 BIG 9.1.2
□ De toegang tot Burgerzaken/Publiekszaken
Besluit BRP 6 BIG 9.1.2
□ De toegang tot de serverruimte(n)
Besluit BRP 6 BIG 9.1.3
□ De toegang tot alle kantoorruimten
Besluit BRP 6 BIG 9.1.3
□ De toegang tot de archiefruimte
Besluit BRP 6 BIG 9.1.3
Toelichting
Het individueel toekennen van toegang met gebruikmaking van een persoonlijk toegangsmiddel (bijvoorbeeld keycard, sleutel, vingerafdruk, code)
56
NR Vraag 99 Op welke wijze is het systeem van toegangscontrole ingericht?
Incidentmeldingen 100 Welke maatregelen heeft u getroffen om de risico's van onbevoegde toegang, verlies van en schade aan informatie tijdens en buiten kantooruren te verminderen?
Antwoord □ De toegang is uitsluitend mogelijk voor geautoriseerde personen
Bronverwijzing Besluit BRP 6 BIG 9.1.2
□ Het toekennen van toegangsautorisatie is voorbehouden aan de betreffende leidinggevende □ De toegangsautorisatie wordt beperkt tot de voor de werkzaamheden noodzakelijke tijdstippen □ Toegang voor derden is uitsluitend toegestaan onder begeleiding van bevoegde medewerkers □ Er zijn geen specifieke maatregelen getroffen
Besluit BRP 6 BIG 9.1.2
□ Gevoelige of kritische bedrijfsinformatie wordt afgesloten bewaard wanneer de informatie niet wordt gebruikt
Besluit BRP 6 BIG 11.3
□ Computers worden uitgelogd of beschermd door een scherm- en toetsenbordvergrendeling met wachtwoord, token of soortgelijke authenticatie van de gebruiker wanneer ze onbeheerd achterblijven
BIG 11.3
Toelichting
Besluit BRP 6 BIG 9.1.2 Besluit BRP 6 BIG 9.1.2
Vertrouwelijke informatie of persoonsgegevens mogen niet meer toegankelijk zijn indien de werkplek wordt verlaten
57
NR Vraag
Antwoord □ Onbevoegd gebruik van fotokopieerapparaten en andere reproductieapparatuur (bijvoorbeeld scanners) is niet mogelijk □ Documenten met gevoelige of geheime informatie worden na het afdrukken onmiddellijk van printers verwijderd □ Geen van bovenstaande maatregelen
Bronverwijzing BIG 11.4
101 Bevinden de brondocumenten zich buiten werktijd in een ruimte die alleen toegankelijk is voor geautoriseerden?
O Ja O Nee
Besluit BRP 6 BIG 9.1.3
102 Hoe worden buitenlandse brondocumenten gearchiveerd?
O Alle brondocumenten (in kopie) worden bewaard O Alleen de wettelijk voorgeschreven documenten worden bewaard, voor de periode als beschreven in bijlage 6 van de Regeling BRP
103 Hoe worden de buitenlandse brondocumenten bewaard?
Toelichting
BIG 11.4
Regeling BRP 4
O Op papier O Gescand en aan PL gehangen O Gescand en opgeslagen in een digitaal archief systeem O Gedeeltelijk op papier en gedeeltelijk gescand
58
NR Vraag 104 Bevinden brondocumenten die uniek zijn zich buiten werktijd in een branden inbraakwerende ruimte?
Antwoord O Ja O Nee
Bronverwijzing Besluit BRP 6 BIG 9.1.4
Toelichting
105
O Ja O Nee
Besluit BRP 6 BIG 9.1.4
Ook brondocumenten die zijn opgeslagen op media moeten zich in een beveiligde omgeving bevinden.
Calamiteiten Bij een calamiteit moet worden gedacht aan een zodanige gebeurtenis dat de normale bedrijfsvoering ernstig of langdurig zal zijn verstoord. Het kan dus een kortdurende calamiteit zijn met ernstige gevolgen, zoals lekken van zeer vertrouwelijke gegevens of een langdurende calamiteit waarbij producten en diensten niet of niet tijdig kunnen worden geleverd. Het beheersen van calamiteiten leent zich bij uitstek voor een planmatige aanpak. Het onderkennen van de risico’s, de dreigingen en het treffen van (nog te nemen) maatregelen kan een belangrijke bijdrage betekenen in het beheersen van calamiteiten. Klaar zijn voor het geval dat het gebeurt. We kunnen veel leren van incidenten of liever nog van bijna-incidenten. Door deze gebeurtenissen te analyseren krijgen we zicht op de mogelijke oorzaken. Dat maakt het veel doeltreffender om maatregelen te ontwikkelen en te implementeren die de kans op of het gevolg van een incident kunnen verminderen. Een adequate procedure om incidenten te melden is daarbij een absolute voorwaarde. NR Vraag Antwoord Bronverwijzing Toelichting Planmatig beheersen van risico's 106 Beschikt u over een beveiligingsplan O Ja Besluit BRP 6 Een plan bevat de te nemen voor de gemeentelijke voorziening? O Nee BIG 5.1.1 maatregelen, de aanwijzing van de verantwoordelijken daarvoor en de termijn waarbinnen dit gerealiseerd moet zijn. Met gemeentelijke voorziening wordt de 'oude' GBAapplicatie bedoeld.
59
NR Vraag 107 Zijn in het plan het afgelopen jaar de volgende onderdelen opgenomen cq. geactualiseerd?
Antwoord □ De risico's □ De dreigingen
Bronverwijzing Besluit BRP 6 BIG 5.1.1 Besluit BRP 6 BIG 5.1.1
□ De genomen maatregelen
Besluit BRP 6 BIG 5.1.1
□ De te nemen maatregelen
Besluit BRP 6 BIG 5.1.1
□ De verantwoordelijkheden en termijnen van de te nemen
Besluit BRP 6 BIG 5.1.1
Toelichting
□ Er is geen plan □ Geen van de bovengenoemde onderdelen zijn in ons plan opgenomen Incidentmeldingen 108 Welke onderwerpen zijn minimaal in de procedure incidentmeldingen benoemd?
□ Diefstal met of zonder braak □ Diefstal met of zonder geweld □ Bedreiging of intimidatie □ Onbevoegde aanwezigheid □ Uitlekken van gevoelige informatie
LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1
60
NR Vraag
Antwoord □ Fraude
Bronverwijzing LO 7.3 BIG 13.1.1
□ Fouten in het berichtenverkeer
LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1 LO 7.3 BIG 13.1.1
□ Fouten veroorzaakt door gebruikers of beheerders □ Fouten in de applicatie □ Fouten in het netwerk
Toelichting
□ Er is geen procedure, of geen van de genoemde onderwerpen zijn opgenomen 109 Welke elementen zijn in de procedure incidentmeldingen verwerkt?
□ De wijze waarop wordt gemeld □ De verantwoordelijke voor de ontvangst van de melding □ De verantwoordelijke voor de verwerking van de melding □ De termijn waarbinnen de melding moet zijn verwerkt □ De wijze waarop de melder bericht wordt □ De registratie of verslaglegging van de meldingen
LO 7.3 BIG 13.2.1 LO 7.3 BIG 13.2.1 LO 7.3 BIG 13.2.1 LO 7.3 BIG 13.2.1 LO 7.3 BIG 13.2.1 LO 7.3 BIG 13.2.1
61
NR Vraag
Antwoord □ Er is geen procedure of geen van de genoemde elementen is opgenomen
Bronverwijzing
110 Heeft er afgelopen jaar een incident plaatsgevonden?
O Ja, er is daarbij gehandeld conform de procedure O Ja, daarbij is echter niet gehandeld conform de procedure O Nee
LO 7.3 BIG 13.2 LO 7.3 BIG 13.2
Fysieke uitwijk 111 Wat is er geregeld om de dienstverlening altijd te kunnen leveren, inclusief het beheer en het gebruik van de BRP?
112 Beschikt u over een draaiboek uitwijk dienstverlening?
113 Is het draaiboek ook bij calamiteiten beschikbaar?
Toelichting
□ Er zijn afspraken vastgelegd over het LO 7.4.1 tijdelijk gebruik van andere BIG 14.1.3 huisvesting binnen de gemeente □ Er zijn afspraken vastgelegd over het LO 7.4.1 tijdelijk gebruik van andere huisvesting buiten de gemeente □ Hiervoor is niets geregeld O Ja, en het is actueel en vastgesteld O Ja, het is actueel, maar niet vastgesteld O Ja, het is vastgesteld, maar niet actueel O Nee O Ja O Nee
BIG 14.1.3 BIG 14.1.3 BIG 14.1.3
Besluit BRP 6 BIG 14.1.3
62
NR Vraag 114 Is het afgelopen jaar getoetst of uw gemeente in geval van calamiteiten kan uitwijken? Brondocumenten 115 Welke situatie is het afgelopen jaar in de gemeente voorgekomen?
Antwoord O Ja, de procedure is daadwerkelijk getoetst op werking O Ja, de procedure is nagelopen O Nee
Bronverwijzing BIG 14.1.5
Toelichting
□ (Vermoede) identiteitsfraude □ Onbevoegde wijzigingen opgenomen op het brondocument □ Look-a-like □ Geen O De gegevens worden niet opgenomen
116 Hoe wordt bij een inschrijving/actualisering/correctie omgegaan met een brondocument dat O De gegevens worden wel door eigen inzicht of door de IND of opgenomen, maar niet op grond van BUZA wordt geclassificeerd als dat brondocument waarschijnlijk vals? O De gegevens worden wel opgenomen op grond van dat brondocument, maar de gegevens worden in onderzoek geplaatst O De gegevens worden wel opgenomen op grond van dat brondocument 117 Wanneer er een vermoeden is dat een O Altijd document vals is, wordt dit dan O Soms
63
NR Vraag ingenomen?
Antwoord O Nooit
Bronverwijzing
118 Wanneer uit onderzoek blijkt dat een document vals is, wordt hiervan aangifte gedaan bij de politie?
O Altijd
HUP 3.16
Toelichting
O Alleen als er sprake is van (vermoedelijke) fraude O Nooit Naleving Naleving duidt op het voldoen aan de wet en regelgeving maar ook op een systematiek voor het constant verbeteren van de processen. Dit biedt een concreet handvat voor het bevorderen van kwaliteit en het handhaven van een kwaliteitscyclus. NR Vraag Voldoen aan wettelijke verplichtingen 119 Wat wordt met de uitkomsten van de zelfevaluatie gedaan?
Antwoord
Bronverwijzing
□ Deze worden jaarlijks door de controller informatiebeveiliging aan het college gerapporteerd
BIG 15
□ Deze worden besproken met medewerkers van betrokken vakgebieden
BIG 15
□ Deze worden besproken tijdens het afdelingsoverleg □ Geen van bovengenoemde
BIG 15
Toelichting
64
NR Vraag Opvolging van controleactiviteiten 120 Wat wordt gedaan met de aandachtspunten die voortkomen uit de uitgevoerde controles en evaluatie?
Antwoord
Bronverwijzing
Toelichting
O Deze worden besproken met de bestuurlijk en/of ambtelijk verantwoordelijke O Deze worden besproken met de bestuurlijk en/of ambtelijk verantwoordelijke en opgenomen in de planning van de verantwoordelijke afdelingen O Deze worden opgenomen in de planning van de verantwoordelijke afdelingen O Er zijn geen nieuwe aandachtspunten O Er wordt niets met de aandachtspunten gedaan
65
3 - Normenkader Suwinet 1. Beveiligingsbeleid en beveiligingsplan Doelstelling: Het definiëren van een informatiebeveiligingsbeleid en informatiebeveiligingsplan met beleidslijnen waaraan de beveiliging van Suwinet moet voldoen. 1 De Suwi-partij beschikt over een informatiebeveiligingsbeleid dat aansluit op de documenten zoals genoemd: · Algemeen beleid over beveiliging, risicoanalyse, toegang tot data en infrastructuur, rol gespecialiseerde beveiligingsadviseurs · Organisatie van de beveiliging · Classificatie · Beveiliging van personeel · Fysieke beveiliging · Logische toegangsbeveiliging · Systeemontwikkeling en onderhoud · Beheer en beheersing ICT-omgevingen (inclusief uitbesteding) · Continuïteitsplanning · Toezicht · De documenten passen binnen het beveiligingsconcept voor de totale organisatie 2 De Suwi-partij heeft voor de Suwi-omgeving (applicaties, processen en infrastructuur) een Suwinet beveiligingsplan opgesteld, dat gebaseerd is op het informatiebeveiligingsbeleid van de organisatie en afspraken in de Suwiketen. · (Meerjaren) activiteiten voor Suwinet · Afspraken gebaseerd op de Keten SLA Suwinet 3 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet zijn goedgekeurd door het management van de Suwi-partij. 4 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie. 5 Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden jaarlijks geëvalueerd en indien nodig geactualiseerd. 2. Organisatorische aspecten Doelstelling: Het inrichten en onderhouden van de beveiligingsfunctie en de beveiligingsorganisatie van Suwinet.
66
1 De Suwi-partij beschikt over een ingerichte organisatie voor het beheersen van de beveiliging van het Suwinet. 2 De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. · Operationeel beheer · Functioneel beheer · Technisch beheer · Aansturing ICT-leveranciers · Security Officer · Autorisatiebeheer · Eigenaarschap Suwinet 3 De Security Officer beheert en beheerst beveiligingsprocedures en –maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. · De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat m.b.t. de beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet · De Security Officer rapporteert rechtstreeks aan het hoogste management 4 Personeel en ingehuurde krachten die met Suwinet werken dienen vertrouwelijk om te gaan met de privacygevoelige gegevens uit Suwinet. · Geheimhoudingsplicht · Clear-Desk m.b.t. persoonsgegevens · Training gebruikers m.b.t. bewustwording voor informatiebeveiliging · Verwijderen/vernietigen gegevens(dragers) 3. Architectuur / Standaarden Doelstelling: Het voor de gegevensuitwisseling en beveiliging van Suwinet toepassen van de gezamenlijk door het PPI en AKO vastgestelde uitgangspunten. 1 De gestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, het SGR, de Suwinet-Ketenarchtectuur en de onderliggende set van afspraken en documenten. De ongestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, de Suwinet-Ketenarchitectuur en de onderliggende set van afspraken en documenten.
67
2 De Suwi-partij volgt de actuele wet- en regelgeving en maakt een vertaalslag ten behoeve van de aansluiting op het SGR en definiëren richtlijnen voor het gebruik van de gegevens en stellen deze gezamenlijk vast. · Verpakking van berichten · Stuurgegevens · Gebruik communicatieprotocollen · Naamgeving · Versiebeheer 4. Dienstenniveau Beheer Doelstelling: Het inrichten en onderhouden van de gewenste en onderling overeengekomen niveaus van dienstverlening voor Suwinet tussen Suwipartijen en het BKWI en tussen de Suwi-partijen met hun ICT leveranciers. 1 De dienstverlening en de daarop betrekking hebbende beveiligingsnormen zijn gebaseerd op wet- en regelgeving en ook op gemeenschappelijke afspraken die formeel zijn vastgelegd in Service Level Agreements (SLA’s) en nader zijn uitgewerkt in de Keten DAP Suwinet en eventuele onderliggende documenten. 2 Het Suwinet-Normenkader is onverkort van toepassing, ook indien tot uitbesteding van (delen van) diensten wordt overgegaan - Concrete en meetbare afspraken over taken, verantwoordelijkheden en bevoegdheden. - Contract - SLA - Detailafspraken - Registratie van uitbestedingovereenkomsten - Evaluatie 3 Het naleven van de afspraken tussen de Suwi-partij en de uitbesteding (van delen) van diensten wordt gecontroleerd. · Interne kwaliteitsprocessen / controle · Third party mededelingen · Toezicht op naleving afspraken · Rapportage uitkomsten controle
68
5. Capaciteitsbeheer Doelstelling: Het inrichten en onderhouden van gewenste en onderling overeengekomen beschikbaarheid van de benodigde middelen van en voor Suwinet. 1 De Suwi-partij heeft een proces voor capaciteitsbeheer ingeregeld. · Capaciteitsplan · Capaciteitswijzigingsvoorstellen (afspraken conform wijziging- en releasebeheer) · Voorstellen voor aanpassing van afgesproken dienstverlening · Escalatieprocedures 2 De capaciteitsbehoefte wordt geborgd volgens de afspraken vastgelegd in de Keten SLA Suwinet. 3 De beheerders van de Suwinet-voorzieningen bewaken of het capaciteitsbeslag op de Suwinet-voorzieningen overeenkomt met de waarden zoals vastgelegd in de Keten SLA Suwinet en signaleren bij dreigende overschrijdingen. · Escalatieprocedures (escalatie vindt plaats conform het incidentbeheer) · Performance en werklast · Minimum en maximum capacititeit 4 Het capaciteitsgebruik wordt permanent gecontroleerd en regelmatig aan de hand van performance indicatoren geanalyseerd. Als de capaciteit ontoereikend dreigt te worden dient dit door de betrokken ICT-leverancier te worden gemeld en actie te worden ondernomen. 6. Continuïteitsbeheer Doelstelling: Het inrichten en onderhouden van de beschikbaarheid van de benodigde middelen van en voor Suwinet. 1 De organisatie beschikt over een continuïteitsbeleid. · Definitie calamiteiten · Calamiteitenorganisatie · Aanwijzing calamiteitencoördinator · Calamiteitenniveau per bedrijfsproces · Beleid ten aanzien van eventuele uitwijk
69
2 De organisatie beschikt over een continuïteitsplan. · Continuïteitsplan met beschrijving van Suwinet objecten en/of toepassingen en de gerelateerde afhankelijkheden · Testplan · Calamiteitenplan 3 Het continuïteitsbeheer komt overeen met de afspraken in de geldende Keten SLA Suwinet. · Openstellingtijden · Onderhoudstijden · Uitwijk 4 De in de geldende Keten SLA Suwinet en Keten DAP Suwinet benoemde noodvoorzieningen worden jaarlijks getest. · Een maal per jaar zonder koppeling bedrijfsprocessen · Een maal per jaar met koppeling bedrijfsprocessen 5 De Suwinet-gegevens moeten beschikbaar zijn conform de overeengekomen beschikbaarheidpercentages zoals vastgelegd in de Keten SLA Suwinet. · Bewaartermijnen back-up · Testen herstel (recovery) · Externe opslag · Reserve apparatuur 7. Configuratiebeheer Doelstelling: Het inrichten en onderhouden van een betrouwbare registratie van alle relevante configuratie items van Suwinet [inclusief de uitwijkmiddelen] en ook van hun status, onderlinge relaties en waarde. 1 De Suwi-partij registreert en onderhoudt binnen het eigen domein de componenten die specifiek worden ingezet voor de gegevensuitwisseling via het Suwinet. · Eenduidige naamgevingconventie · Identificerende gegevens op fysieke componenten · Labelen gegevensdragers · Periodieke controle van feitelijke situatie en registratie (geldt ook voor middelen op uitwijklocaties) 2 De Suwi-partij beheert en onderhoudt de licenties van de voor het Suwinet ingezette hard- en software.
70
3 De objecten van onderzoek welke zijn gepositioneerd binnen het onderkende koppelvlak van Suwinet worden geadministreerd. In de Keten SLA Suwinet worden voor enkele van deze objecten nadere afspraken gemaakt. 8. Incidentbeheer Doelstelling: Het registreren, prioriteren en (doen) verhelpen van gebeurtenissen die een onderbreking of vermindering van de kwaliteit van de dienstverlening van of voor Suwinet veroorzaken. Deze gebeurtenissen [incidenten of storingen] worden conform de afspraken in de Keten SLA Suwinet afgewikkeld zodat de gegevensuitwisseling ongestoord voortgang kan vinden. 1 Een procedure is van kracht die regelt dat (beveiliging)incidenten en zwakke plekken in de beveiliging van Suwinet applicaties, processen en infrastructuur gemeld worden. · De incidenten procedure moet bekend zijn bij de betrokken medewerkers · Onderdeel van de procedure is dat de Security Officer van de Suwi-partij beveiligingsincidenten meldt aan de voorzitter van de DPB · De procedure voorziet in een escalatieprocedure 2 De incidenten worden centraal vastgelegd, gerapporteerd, geanalyseerd, gekwantificeerd en afgewikkeld in relatie tot het betrouwbaarheid sniveau en de ernst van de storing voor de bedrijfsvoering van Suwinet conform de afspraken in de Suwiketen.(Keten SLA Suwinet, en procedure Incident beheer). 3 Incidenten die niet binnen de overeengekomen oplostijd binnen Incident Beheer kunnen worden opgelost, worden geëscaleerd. 4 Incidenten die kunnen worden opgelost maar waarvan de verwachting bestaat dat deze opnieuw kunnen optreden worden voorgelegd aan probleembeheer ter nadere analyse.
71
9. Probleembeheer Doelstelling: Het registreren, prioriteren en (doen) oplossen van [achterliggende oorzaken van fouten van Suwinet, teneinde stabiliteit in de IT dienstverlening van Suwinet te bereiken. 1 De Suwi-partij beschikt over een procedure voor het analyseren en het trekken van lering uit incidenten en zorgen ervoor dat het beleid en maatregelen overeenkomstig wordt aangepast. · Probleem melding · Registreren (probleemeigenaar, Known-Errors) · Analyseren (onderzoek en diagnose en prioritering) · Oplossen (Wijzigingsverzoek indienen en Foutbeheer) · Afsluiten (rapportage) · Escalatieprocedure 2 Het Problem Management dient door Incident Management van de verschillende Suwi-partijen geïnformeerd te worden en informeert Incident Management over Known-Errors en Work-Arounds. 10. Wijzigingbeheer Doelstelling: Het inrichten en onderhouden dat gestandaardiseerde methoden en technieken worden gebruikt voor efficiënte en tijdige afhandeling van alle wijzigingen aan of voor Suwinet, om aan wijziging gerelateerde problemen voor Suwinet te voorkomen. 1 De productie-, ontwikkel-, test-, acceptatie omgevingen zijn ten minste logisch van elkaar gescheiden. · De omgevingen zijn beschikbaar conform de Keten SLA Suwinet. 2 De wijzigingen op Suwinet worden doorgevoerd volgens een gestructureerde wijzigingenprocedure met centrale regie. · Plannen, registreren, bewaken van voortgang en uitvoerbaarheid van wijzigingen · Impactanalyse op (beveiliging) van andere wijzigingen · Doorvoeren versiebeheer op de wijzigingen · Alle wijzigingen worden eerst getest en goedgekeurd alvorens zij in productie genomen worden
72
3 Elke Suwi-partij voert volgens de releaseplanning de wijzigingen op ketencomponenten van Suwinet door, volgens het ketenbreed overeengekomen wijziging- en releasebeheer. · Wijzigingen worden in overleg met de ketenpartijen gepland · Aanmelding ketenwijzigingen bij en registratie door ketenbrede wijzigingbeheer · Elke release of wijziging doorloopt de fasen: analyse, realisatie, acceptatie en implementatie · Wijzigingen worden slechts doorgevoerd, wanneer aan alle randvoorwaarden, zoals in het Ketenbrede Wijzigingbeheer benoemd, wordt voldaan 4 De Suwi-partij onderkent in het systeemontwikkelingtraject van Suwinet applicaties beveiligingseisen en specificeert die voor een project. · Eisen verantwoorden en documenteren en implementeren · Implementatie in afstemming met Suwi-partijen 5 Ketenbreed wordt door het ketenbrede wijzigingbeheer regie gevoerd over de geplande wijzigingen. · Het ketenbrede wijzigingbeheer en de wijzigingscoördinatoren van de Suwi-partijen toetsen of aan alle voorwaarden, zoals beschreven in het Ketenbrede Wijzigingbeheer, is voldaan voor het doorvoeren van een wijziging · Het ketenbrede wijzigingbeheer beslist, wanneer aan alle voorwaarden wordt voldaan, dat een wijziging kan worden doorgevoerd · Het ketenbrede wijzigingbeheer en de wijzigingscoördinatoren van de Suwi-partijen escaleren richting AKO bij niet nakomen van wijzigingsverplichtingen door Suwi-partijen
73
11. Testen Doelstelling: Het testen en vaststellen dat wijzigingen van of voor Suwinet de gewenste resultaten bieden, opdat de overeengekomen niveaus van dienstverlening van Suwinet bij wijzigingen gewaarborgd blijven. 1 De Suwi-partij test binnen de eigen omgeving of de nieuwe functionaliteit van het Suwinet voldoet aan het gestelde doel zoals vastgelegd in het wijzigingsvoorstel (het functioneel testen) en voeren op componenten acceptatietesten uit. · Testmethodiek en strategie · Testorganisatie · Testplan en voorbereiding · Testspecificatie (testdata en testgevallen) en testuitvoering · Vastlegging testresultaten en goedkeuring test · De test is reproduceerbaar · Plan voor gebruikersacceptatietest · Acceptatiecriteria (gebruikersdocumentatie en gebruikersprocedures) · Acceptatietest verslag · Formele goedkeuring door gebruiker 2 De technische werking van de koppelingen in de ketenbrede testomgeving wordt door de Suwi-partijen gezamenlijk vastgesteld in de Keten Integratie Test (KIT). · Afspraken over zekerheid dat met de juiste versies en data in de juiste omgeving getest wordt · Evaluatie van testresultaten en over hoe om te gaan met gesignaleerde fouten en de oplossing daarvoor · Afspraken over moment uitvoering testen
74
3 De Keten Acceptatie Test (KAT – gebruikersacceptatietest) wordt in de ketenbrede testomgeving uitgevoerd door de eindgebruikers van de Suwi-partijen nadat de KIT is afgerond. · Plan voor gebruikersacceptatietest · Acceptatiecriteria (gebruikersdocumentatie en gebruikersprocedures) · In de test vindt gegevensvalidatie plaats, waarin getest wordt of gegevenselementen overeenkomen met het SGR · Acceptatietest verslag en Evaluatie resultaten · Overleg en besluit over moment van invoering 4 Het testen vindt plaats met fictieve persoonsgegevens. Indien bij het testen gebruik gemaakt moet worden van persoonsgegevens uit de productieomgeving moeten de gebruikte persoonsgegevens inclusief de inhoudelijke testresultaten na uitvoering van de test worden verwijderd uit de testomgeving en traceerbaar vernietigd. 5 De ketenbrede testomgevingen (KIT en KAT) zijn beschikbaar conform de Keten SLA Suwinet of conform nadere afspraken. 12. Netwerkbeheer Doelstelling: Het inrichten en onderhouden van betrouwbare en beschikbare netwerkvoorziening voor Suwinet. 1 Het gebruik van het Suwinet netwerk en de verwachte ontwikkelingen worden geanalyseerd. · Detecteren en oplossen congesties · Analyseren transportvolumes 2 De Suwinet infrastructuur tot aan de koppelpunten van de Suwi-partijen wordt centraal beheerd door het BKWI. Het netwerk van de Suwipartijen tot en met het koppelpunt met de Suwinet infrastructuur wordt door de Suwi-partijen beheerd. · Onderhoud netwerk(besturings)programmatuur · Analyse beschikbaarheid · Analyse netwerkbelasting · Melden en afwikkelen van onvolkomenheden · Signaleren en afwikkelen van inbreuken op netwerkbeveiliging · Signaleren en afwikkelen van aanvallen op netwerk 3 De netwerkcomponenten zijn ingebed in het configuratie- en continuïteitsmanagement (externe koppeling). · Beveiliging tegen stroomonderbreking · Back-ups · Herstelproces
75
13. Logische toegangbeveiliging Doelstelling: Het inrichten en onderhouden van de bescherming van Suwinet en de Suwi-gegevens tegen ongeautoriseerde [logische] toegang en gebruik 1 De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen. · Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie / taken · Het uniek identificeren van elke gebruiker tot één persoon · Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde · Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek · Het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten) 2 Technisch Beheerders hebben geen Suwinet-account. 3 Functioneel Beheerders hebben alleen toegang tot persoonsgegevens van Suwinet volgens onder 13.1 gestelde eisen. · Procedures en wachtwoorden passend voor die beheeractiviteiten 4 Identificatie, authenticatie en autorisatie vinden plaats met behulp van een toegangbeveiligings-applicatie. 5 De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. · Interne controle op rechten en gebruik van Suwinet · Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens 6 Ongeautoriseerde toegangspogingen en essentiële activiteiten worden gedetecteerd, geanalyseerd en tegen inbreuken wordt actie ondernomen. · Analyseren van de informatie verkregen op basis van normen 1 tot en met 10 · Maximaal 18 maanden bewaren van loggegevens welke gegevens bevatten die tot natuurlijke personen herleidbaar zijn
76
7 Het gebruik van wachtwoorden is gebaseerd op de afspraken voor het Suwinet. · Overdracht verbieden · Wijzigen initiële wachtwoord · Geen hergebruik laatste 5 wachtwoorden · Procedure bij ‘vergeten wachtwoord’ · Minimaal acht posities bestaande uit cijfers en letters, niet zijnde voornaam, achternaam, gebruikersnaam · Wijziging na acht weken afdwingen 8 Het aantal achtereenvolgende ongeldige inlogpogingen is beperkt tot vier (het aantal aanlogpogingen is vijf). Overschrijding leidt tot automatische afsluiting van het toegangsrecht. 9 Het toepassen van een Screensaver na 15 minuten en het activeren van applicatie via een wachtwoord. 10 De inrichting van de schermen en rollen worden door de DPB getoetst op proportionaliteit en doelbinding. 14. Fysieke beveiliging Doelstelling: Het beschermen van de componenten en data van Suwinet tegen ongeautoriseerde [fysieke] toegang, diefstal, verlies verandering, verminking en oneigenlijk gebruik. 1 De ruimten met Suwinet-componenten en -data zijn alleen toegankelijk voor geautoriseerde personen. · Regime beperking toegang · Fysieke beveiliging
77
2 De ruimten met Suwinet-componenten en -data zijn fysiek beveiligd. · Geconditioneerde ruimten · Detectie vuur en water · Beveiliging kabels tegen interceptie · Ups · Noodstroom · Onderhoudsschema’s · Signalering- en herstelprocedures · Controle op functioneren voorzieningen · Scheiding processing en nabewerking · Inrichting voor geschikt voor behandeling data met verschillende risicoclassificatie · Bijgehouden back-ups worden op externe locatie opgeslagen 15. Suwinet-Inkijk Doelstelling: Een applicatie voor het beveiligd online ophalen en raadplegen van gegevens d.m.v. webservice-technologie. 1 Het online ophalen van gegevens vindt plaats conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Inkijk. 2 De authenticiteit van de communicatiepartners moet vaststaan. · De authenticiteit van de vragende en aanbiedende organisatie van Inkijkgegevens moet vaststaan · De authenticiteit van eindgebruikers binnen de vragende organisatie van Inkijkgegevens moet vaststaan 3 De vertrouwelijkheid van Inkijkgegevens moet gewaarborgd zijn. · Ongeautoriseerd gebruik van de Inkijkgegevens ten tijde van het transport tussen de vragende en aanbiedende webservice is niet mogelijk · Ongeautoriseerd gebruik van de Inkijkgegevens is niet mogelijk 4 De integriteit van de gegevensuitwisseling moet gewaarborgd zijn (ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden mag niet mogelijk zijn ten tijde van het transport). 5 De Inkijkgegevens mogen tijdens transport niet verloren raken en Suwinet-Inkijk is beschikbaar conform de afspraken in de Keten SLA Suwinet. 16. Suwinet-Inlezen Doelstelling: Het beveiligd online ophalen van Inkijk-gegevens d.m.v. webservice-technologie en deze gegevens direct verwerken/inlezen in de [eigen] bedrijfsapplicaties. 1 Het online ophalen van gegevens vindt plaats conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Inkijk.
78
2 De authenticiteit van de communicatiepartners moet vaststaan. · De authenticiteit van de vragende en aanbiedende organisatie van de Suwi-gegevens moet vaststaan · De authenticiteit van eindgebruikers binnen de vragende organisatie van de ingelezen Suwi-gegevens moet vaststaan 3 De vertrouwelijkheid van Inkijkgegevens moet gewaarborgd zijn. · Ongeautoriseerd gebruik van de ingelezen Suwi-gegevens ten tijde van het transport tussen de vragende en aanbiedende webservice is niet mogelijk · Ongeautoriseerd gebruik van de ingelezen Suwi-gegevens is niet mogelijk 4 De integriteit van de gegevensuitwisseling moet gewaarborgd zijn (ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden mag niet mogelijk zijn ten tijde van het transport). 5 De ingelezen Suwi-gegevens mogen tijdens transport niet verloren raken, de online opgevraagde Inkijk-gegevens moet ongeschonden bij de aanvrager aankomen en de gegevensuitwisseling is beschikbaar conform de vastgestelde afspraken in de Keten SLA Suwinet (en eventuele afspraken rond nadere uitwerking tussen ketenpartijen onderling). 17. Suwinet-Meldingen Doelstelling: Het middels gestructureerde berichten beveiligd uitwisselen van signalen over gebeurtenissen [Meldingen] binnen Suwinet middels webservices. 1 De meldingen worden uitgewisseld conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Meldingen. 2 De authenticiteit van de communicatiepartners moet vaststaan. · De authenticiteit van de vragende en aanbiedende organisatie van meldingen moet vaststaan · De authenticiteit van eindgebruikers binnen de vragende organisatie van meldingen moet vaststaan 3 De vertrouwelijkheid van de meldingen moet gewaarborgd zijn, ongeautoriseerd gebruik van de uitgewisselde meldingen is niet mogelijk; d.w.z. meldingen mogen alleen ingezien en ontvangen worden door de beoogde (en dus geautoriseerde) ontvanger. 4 De integriteit van de meldingen moet gewaarborgd zijn, ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden is niet mogelijk. 5 Meldingen mogen tijdens transport niet verloren raken. 18. Suwinet-Mail Doesltelling: Het beveiligd uitwisselen van ongestructureerde [e-mail] berichten tussen medewerkers van verschillenden Suwi-partijen. 1 De Mailuitwisseling vindt plaats conform het Stelselontwerp Suwinet en Architectuur Suwinet-Mail en de Handreiking Suwinet-Mail.
79
2 Alle e-mail inclusief eventuele attachments worden voor gebruik op mogelijk schadelijke inhoud gecontroleerd. · E-mail en attachments worden gecontroleerd op besmetting met virussen · Soorten attachments, welke een verhoogd risico inhouden op het gebied van de beveiliging van de infrastructuur, worden gefilterd 3 Het e-mailgebruik van Suwigegevens is gebaseerd op beleid. · Classificatie van berichten · Bescherming tegen ongeautoriseerd gebruik · Onvolkomenheden rapporteren · Documenteren · Ongewijzigd blijven bericht · Controle op juistheid en volledigheid · Persoonsgegevens beschermen conform wet- en regelgeving 4 Het is niet mogelijk e-mail te versturen dat niet afkomstig is uit het eigen domein (open-mail-relay). 5 De inrichting van Suwinet-Mail waarborgt, behalve door viruscontrole en back-updoeleinden, de exclusieve toegang tot de inhoud van emailberichten door uitsluitend de eigenaar van het e-mail account en de geadresseerde. 6 De e-mail faciliteit is beschikbaar conform de afspraken in de Keten SLA Suwinet.
80
19. Toegangbeveiligingspakket Doelstelling: Een applicatie die op rollen gebaseerde [en op basis van gedelegeerd beheer] geautoriseerde toegang tot Suwinet-Inkijk borgt en daarmee op gebruikersniveau proportionaliteit en doelbinding invult. 1 De authenticatie en autorisatie (voor gebruikers) vinden plaats door middel van het toegangbeveiligingspakket. · Controle alle http-verkeer op basis van gebruikersadministratie · Tijdsduur geldigheid log-on beperken 2 De gebruikersadministratie is decentraal (gedelegeerd) ingericht, de toekenning van de rechten is gedelegeerd. · Autorisatieverkeer vindt plaats op basis van ketenbrede afspraken · Er zijn voorschriften inzake Gebruikersadministratie · Benoeming en administratie van locale beheerders voor het autorisatieverkeer autorisatieprofiel · Bevoegdhedenprofiel beperken, alleen toegang tot geautoriseerde diensten · Inkijkpagina’s alleen lezen en autorisatie op functionaris / gebruikersniveau · Gebruikersrollen worden alleen aan gebruikers toegekend (Beheerders krijgen geen gebruikersrol toegewezen) 3 Het autoriseren van eindgebruikers gebeurt op basis van rollen met beperking van de weer te geven gegevens per pagina. 4 De aspecten rond logging voor Suwinet-Inkijk zijn vastgelegd in een binnen de Suwiketen overeengekomen logprocedure. 20. Server Doelstelling: Het volgens de gangbare beveiligingsstandaarden inrichten en parametriseren van de apparatuur waar de functies van het Suwinet op worden uitvoerd. 1 De apparatuur en programmatuur voldoen aan de gangbare opvattingen (proven technology). · Onderhoud · Actuele versies / releases / patches · Documentatie · Ontdaan van overbodige functies · Gehardend besturingssysteem 2 De toegang is voor eindgebruikers alleen mogelijk via applicatieprogrammatuur en voor beheerdoeleinden alleen door geautoriseerde beheerders.
81
3 De beveiligingsopties (parameterisering) zijn binnen de eigen organisatie ingeregeld. · Wachtwoorden niet in leesbare vorm beschikbaar · Mogelijkheid om programma -, netwerk- en gebruikerssessies af te sluiten (Policy) · Aanbrengen time-slots · Beperking verbindingstijd tot kantooruren · Automatische herstart en herconfiguratie-mechanismen 4 Er zijn maatregelen getroffen om overbelasting van de server(s) cq. het netwerk door valse berichten tegen te gaan. De mogelijkheid van overbelasting door valse berichten wordt geminimaliseerd. 5 Het niet-beschikbaar zijn wordt (automatisch) gedetecteerd. 6 De mail- en client- servers zijn voorzien van actuele anti virus software en updates. 7 De Suwinet-servers bevatten, buiten logbestanden en buiten wat in het vluchtige geheugen staat, geen gegevens van Suwi-partijen. Daar waar gegevens op servers tijdelijk bewaard worden (cache), mag dit alleen gedurende een vooraf afgesproken periode, afgestemd met de Suwipartij welke eigenaar van de gegevens is. 21. Netwerk Doelstelling: De infrastructuur welke benodigd is voor de gegevensuitwisseling via en voor Suwinet. 1 De infrastructuur van het Suwinet is beschikbaar conform de afspraken in de Keten SLA Suwinet en Keten DAP Suwinet. · Het lokaal netwerk is beschikbaar en ongeautoriseerde toegang tot Suwinet is niet mogelijk 2 Het Suwinet maakt alleen gebruik van vaste lijnen. 3 Het Suwinet heeft geen directe verbinding met internet. 4 Alleen verkeer uit het eigen netwerk van de Suwi-partij wordt via firewalls aangeboden aan het SuwiKoppelpunt. · Uitsluitend afkomstig van toegewezen IP-adressen · Filteren op IP -adres · IP-nummerplan
82
5 De door Suwi-partijen voor de gegevensuitwisseling via het Suwinet ingezette netwerkcomponenten moeten elkaar wederzijds authenticeren. · Automatische identificatie zend-, ontvangstpunten en werkstations · Alleen directe toegang tot geautoriseerde diensten · Beheersen route naar werkstation · Authenticatie gebruikers en computers op afstand · Beheersing diagnosepoorten en verbinding · Routering en faciliteiten via logische toegangbeveiliging · Geen systeem- of toepassingsidentificatie tonen voor voltooiing aanlogproces · Bescherming tegen ongeautoriseerd gebruik · Geen hulpboodschappen tijdens aanloggen · Verificatie aanloginformatie na volledige invulling gegevens · Documentatie beveiligingskenmerken · Verbindingstijd beperken 6 Alle afwijkingen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid worden gemeld als beveiligingsincident (monitoren gebruik). 7 De beveiligingsopties in netwerkapparatuur en –programmatuur worden toegepast (gedocumenteerd). 8 Telewerken is alleen toegestaan indien via het eigen (lees Suwi-partij) netwerk aan Suwinet wordt gekoppeld. De dataopslag op de werkplek buiten de organisatie vindt encrypt plaats en ook de gegevensuitwisseling tussen de werkplek buiten de organisatie en het eigen netwerk is versleuteld. 22. Koppelingen / koppelpunten Doelstelling: De routers en firewalls die ongeautoriseerd netwerkverkeer tussen het Suwinet en het eigen netwerk van de Suwi-partijen blokkeren. 1 Bij koppelingen van de Suwi-partij aan de Suwinet-infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwi-partijen wordt doorgelaten. · Beschermd tegen indringen · Verkeer wordt alleen op de applicatielaag uitgewisseld · Toegang vanuit het externe netwerk vindt uitsluitend via de router cq. firewall plaats · Alle berichten scannen op schadelijke codes · Analyse van verdachte activiteiten à tempo (intrusion detection)
83
2 De componenten die worden ingezet voor koppeling, zijn gebaseerd op bewezen technologie. · Gestandaardiseerde componenten · Combinatie beveiligingsmaatregelen op de applicatie- en netwerklaag · Dwingt protocolstandaards af voor het externe netwerkverkeer · Geen overbodige functies in de componenten (ook wel hardening of stripping genoemd) · Sterke authenticatiemechanismen voor het beheer, autorisatie voor beheerders · Verbergt de structuur van het interne netwerk · Voorzien van de nieuwste (beveiligings)patches · Voorziet in een audit-trail van alle verkeer · Voorziet in signalering van verdachte activiteiten · Reduceert vervolgschade 3 De inrichting van de externe koppeling moet voorzien zijn van afzonderlijke beveiliging zones. 4 De (externe) koppeling is beschikbaar conform de afspraken in de Keten SLA Suwinet. 5 Het technisch en operationeel beheer van de (externe) koppeling dient blijvende veiligheid te garanderen (de updates, uitbreidingen en aanpassingen dienen expliciet te worden geautoriseerd en met de grootste zorg plaats te vinden). 6 De inrichting van de (externe) koppeling dient te allen tijde controleerbaar te zijn. 7 De instellingen van de componenten van de externe koppeling/router mogen alleen geautoriseerd worden gewijzigd.
84
4 - Beveiligingsrichtlijnen DigiD Assessment Nr. B0-5 B0-6
Beschrijving van beveiligingsrichtlijn Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen en worden via wijzigingsbeheer doorgevoerd. Maak gebruik van een hardeningsproces, zodat alle ICT-componenten zijn gehard tegen aanvallen.
B1-3 B2-1 B3-1
De laatste (beveiligings)patches zijn geïnstalleerd en deze worden volgens een patchmanagement proces doorgevoerd. Penetratietests worden periodiek uitgevoerd. Vulnerability assessments (security scans) worden periodiek uitgevoerd. Ontwerp en richt maatregelen in met betrekking tot toegangsbeveiliging / toegangsbeheer. Niet (meer) gebruikte websites en/of informatie moet worden verwijderd. Leg afspraken met leveranciers vast in een overeenkomst. Er moet gebruik worden gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke. Beheer- en productieverkeer zijn van elkaar gescheiden. Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. Maak gebruik van veilige beheermechanismen. De webapplicatie valideert de inhoud van een HTTP-request voor die wordt gebruikt.
B3-2 B3-3 B3-4
De webapplicatie controleert voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisaties heeft. De webapplicatie normaliseert invoerdata voor validatie. De webapplicatie codeert dynamische onderdelen in de uitvoer.
B3-5
Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparametriseerde queries.
B0-7 B0-8 B0-9 B0-12 B0-13 B0-14 B1-1 B1-2
B3-7 B3-15 B3-16
De webapplicatie valideert alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde. De webapplicatie staat geen dynamische file includes toe of beperkt de keuze mogelijkheid (whitelisting). Een (geautomatiseerde) blackbox scan wordt periodiek uitgevoerd. Zet de cookie attributen ‘HttpOnly’ en ‘Secure’.
B5-1 B5-2 B5-3 B5-4 B7-1 B7-8
Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers te vinden zijn. Maak gebruik van versleutelde (HTTPS) verbindingen. Sla gevoelige gegevens versleuteld of gehashed op. Versleutel cookies. Maak gebruik van Intrusion Detection Systemen (IDS). Voer actief controles uit op logging
B7-9
Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging
B3-6
85
5 - Normenkader jaarrekening audit Nr.
Domein
Norm
GITC.01 Access security (IT)
Privileged-level access is authorized and appropriately restricted
GITC.02 Access security (IT)
Access granted to default system, service and/or vendor accounts is appropriately secured
GITC.03 Access security (IT)
Users are required to have a unique user identifier
GITC.04 Access security (IT)
Access is authenticated through passwords or other methods
GITC.05 Access security (IT)
Segregation of duties is monitored and conflicting access is either removed or mapped to mitigating controls
GITC.06 Access security (IT)
Management approves the nature and extent of user access
GITC.07 Access security (IT)
Access for terminated and/or transferred users is removed or modified in a timely manner
GITC.08 Access security (IT)
User access is periodically reviewed
GITC.09 Access security (IT)
Logging is monitored or audited on a regular basis to detect unauthorized or inappropriate activity
GITC.10 Access security (IT)
Logging facilities and logfiles are protected against tampering and unauthorized access
GITC.11 Data center and network operations (IT)
Data is backed up on a regular basis
GITC.12 Data center and network operations (IT)
Data is stored in an appropriately secure location
GITC.13 Data center and network operations (IT)
Backups, critical systems, programs, and/or jobs are monitored and processing errors are corrected to ensure successful completion processes are monitored to ensure data is usable and available for retrieval and restoration if needed
86
Nr.
Domein
Norm
GITC.14 Data center and network operations (IT)
Only authorized users have access to update the backup configurations, batch schedules and interfaces.
GITC.15 Data center and network operations (IT)
Ongoing readability of backup and retained data is tested periodically through restoration or other methods.
GITC.16 Data center and network operations (IT)
Physical access to data centers and computer rooms is appropriately restricted
GITC.17 Data center and network operations (IT)
Management reviews physical access to the data center
GITC.18 Application system acquisition, development, and maintenance (IT)
Changes are appropriately approved and tested before being moved into the production environment
GITC.19 Application system acquisition, development, and maintenance (IT)
Management reviews the changes on a regular basis to ascertain that they are appropriate and approved by management
GITC.20 Application system acquisition, development, and maintenance (IT)
Access to implement changes into the application production environment is appropriately restricted and segregated from the development environment
87
6 - Domeinen BIG 5 Beveiligingsbeleid 5.1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocumenten voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid 6 Organisatie van de informatiebeveiliging 6.1 Interne organisatie 6.1.1 Betrokkenheid van het College van B&W bij beveiliging 6.1.2 Coördineren van beveiliging 6.1.3 Verantwoordelijkheden 6.1.4 Goedkeuringsproces voor ICT voorzieningen 6.1.5 Geheimhoudingsovereenkomst 6.1.6 Contact met overheidsinstanties 6.1.7 Contact met speciale belangengroepen 6.1.8 Beoordeling van het informatiebeveiligingsbeleid 6.2 Externe Partijen 6.2.1 Identificatie van risico's die betrekking hebben op externe partijen 6.2.2 Beveiliging beoordelen in de omgang met klanten 6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij 7 Beheer van bedrijfsmiddelen 7.1 Verantwoordelijkheid voor bedrijfsmiddelen 7.1.1 Inventarisatie van bedrijfsmiddelen 7.1.2 Eigendom van bedrijfsmiddelen 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 7.2 Classificatie van informatie 7.2.1 Richtlijnen voor classificatie van informatie 7.2.2 Labeling en verwerking van informatie 8 Personele beveiliging 8.1 Voorafgaand aan het dienstverband 8.1.1 Rollen en verantwoordelijkheden 8.1.2 Screening 8.1.3 Arbeidsvoorwaarden 8.2 Tijdens het dienstverband 8.2.1 Directieverantwoordelijkheid 8.2.2 Bewustwording, opleiding en training ten aanzien van informatiebeveiliging 8.2.3 Disciplinaire maatregelen 8.3 Beëindiging of wijziging van het dienstverband 8.3.1 Beëindiging van verantwoordelijkheden 8.3.2 Retournering van bedrijfsmiddelen 8.3.3 Blokkering van toegangsrechten
88
9 Fysieke beveiliging en beveiliging van de omgeving 9.1 Beveiligde ruimten 9.1.1 Fysieke beveiliging van de omgeving 9.1.2 Fysieke toegangsbeveiliging 9.1.3 Beveiliging van kantoren, ruimten en faciliteiten 9.1.4 Bescherming tegen bedreigingen van buitenaf 9.1.5 Werken in beveiligde ruimten 9.1.6 Openbare toegang en gebieden voor laden en lossen 9.2 Beveiliging van apparatuur 9.2.1 Plaatsing en bescherming van apparatuur 9.2.2 Nutsvoorzieningen 9.2.3 Beveiliging van kabels 9.2.4 Onderhoud van apparatuur 9.2.5 Beveiliging van apparatuur buiten het terrein 9.2.6 Veilig verwijderen of hergebruiken van apparatuur 9.2.7 Verwijdering van bedrijfseigendommen 10 Beheer van Communicatie- en Bedieningsprocessen 10.1 Bedieningsprocedures en verantwoordelijkheden 10.1.1 Gedocumenteerde bedieningsprocedures 10.1.2 Wijzigingsbeheer 10.1.3 Functiescheiding 10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie 10.2 Exploitatie door een derde partij 10.2.1 Dienstverlening 10.2.2 Controle en beoordeling van dienstverlening door een derde partij 10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij 10.3 Systeemplanning en –acceptatie 10.3.1 Capaciteitsbeheer 10.3.2 Systeem acceptatie 10.4 Bescherming tegen virussen en ‘mobile code’ 10.4.1 Maatregelen tegen virussen 10.4.2 Maatregelen tegen ‘mobile code’ 10.5 Back-up 10.5.1 Reservekopieën maken (back-ups) 10.6 Beheer van netwerkbeveiliging 10.6.1 Maatregelen voor netwerken 10.6.2 Beveiliging van netwerkdiensten 10.7 Behandeling van media 10.7.1 Beheer van verwijderbare media 10.7.2 Verwijdering van media 10.7.3 Procedures voor de behandeling van informatie 10.7.4 Beveiliging van systeemdocumentatie 10.8 Uitwisseling van informatie 10.8.1 Beleid en procedures voor informatie-uitwisseling 10.8.2 Uitwisselingsovereenkomsten 10.8.3 Fysieke media die worden getransporteerd 10.8.4 Elektronisch berichtenuitwisseling 10.8.5 Systemen voor bedrijfsinformatie
89
10.9 Diensten voor e-commerce 10.9.1 E-commerce 10.9.2 Online-transacties 10.9.3 Openbaar beschikbare informatie 10.10 Controle 10.10.1 Aanmaken audit-logbestanden 10.10.2 Controle van systeemgebruik 10.10.3 Bescherming van informatie in logbestanden 10.10.4 Logbestanden van administrators en operators 10.10.5 Registratie van storingen 10.10.6 Synchronisatie van systeemklokken 11 Toegangsbeveiliging 11.1 Toegangsbeleid 11.1.1 Toegangsbeleid 11.2 Beheer van toegangsrechten van gebruikers 11.2.1 Registratie van gebruikers 11.2.2 Beheer van (speciale) bevoegdheden 11.2.3 Beheer van gebruikerswachtwoorden 11.2.4 Beoordeling van toegangsrechten van gebruikers 11.3 Verantwoordelijkheden van gebruikers 11.3.1 Gebruik van wachtwoorden 11.3.2 Onbeheerde gebruikersapparatuur 11.3.3 Clear desk en clear screen 11.4 Toegangsbeheersing voor netwerken 11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten 11.4.2 Authenticatie van gebruikers bij externe verbindingen 11.4.3 Identificatie van (netwerk)apparatuur 11.4.4 Bescherming op afstand van poorten voor diagnose en configuraties 11.4.5 Scheiding van netwerken 11.4.6 Beheersmaatregelen voor netwerkverbindingen 11.4.7 Beheersmaatregelen voor netwerkroutering 11.5 Toegangsbeveiliging voor besturingssystemen 11.5.1 Beveiligde inlogprocedures 11.5.2 Gebruikersidentificatie en- authenticatie 11.5.3 Systemen voor wachtwoordenbeheer 11.5.4 Gebruik van systeemhulpmiddelen 11.5.5 Time-out van sessies 11.5.6 Beperking van verbindingstijd 11.6 Toegangsbeheersing voor toepassingen en informatie 11.6.1 Beperken van toegang tot informatie 11.6.2 Isoleren van gevoelige systemen 11.7 Draagbare computers en telewerken 11.7.1 Draagbare computers en communicatievoorzieningen 11.7.2 Telewerken
90
12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen 12.1 Beveiligingseisen voor informatiesystemen 12.1.1 Analyse en specificatie van beveiligingseisen 12.2 Correcte verwerking in toepassingen 12.2.1 Validatie van invoergegevens 12.2.2 Beheersing van interne gegevensverwerking 12.2.3 Integriteit van berichten 12.2.4 Validatie van uitvoergegevens 12.3 Crypto grafische beheersmaatregelen 12.3.1 Beleid voor het gebruik van crypto grafische beheersmaatregelen 12.3.2 Sleutelbeheer 12.4 Beveiliging van systeembestanden 12.4.1 Beheersing van operationele programmatuur 12.4.2 Bescherming van testdata 12.4.3 Toegangsbeheersing voor broncode van programmatuur 12.5 Beveiliging bij ontwikkelings en ondersteuningsprocessen 12.5.1 Procedures voor wijzigingsbeheer 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem 12.5.3 Restricties op wijzigingen in programmatuurpakketten 12.5.4 Uitlekken van informatie 12.5.5 Uitbestede ontwikkeling van programmatuur 12.6 Beheer van technische kwetsbaarheden 12.6.1 Beheersing van technische kwetsbaarheden 13 Beheer van Informatiebeveiligingsincidenten 13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen 13.1.2 Rapportage van zwakke plekken in de beveiliging 13.2 Beheer van informatiebeveiligingsincidenten en verbeteringen 13.2.1 Verantwoordelijkheden en procedures 13.2.2 Leren van informatiebeveiligingsincidenten 13.2.3 Verzamelen van bewijsmateriaal 14 Bedrijfscontinuïteitsbeheer 14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer 14.1.2 Bedrijfscontinuïteit en risicobeoordeling 14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging 14.1.4 Kader voor de bedrijfscontinuïteitsplanning 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen
91
15 Naleving 15.1 Naleving van wettelijke voorschriften 15.1.1 Identificatie van toepasselijke wetgeving 15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights) 15.1.3 Bescherming van bedrijfsdocumenten 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens 15.1.5 Voorkomen van misbruik van IT-voorzieningen 15.1.6 Voorschriften voor het gebruik van crypto grafische beheersmaatregelen 15.2 Naleving van beveiligingsbeleid en normen en technische naleving 15.2.1 Naleving van beveiligingsbeleid en ‐normen 15.2.2 Controle op technische naleving 15.3 Overwegingen bij audits van informatiesystemen 15.3.1 Beheersmaatregelen voor audits van informatiesystemen 15.3.2 Bescherming van hulpmiddelen voor audits van informatiesystemen
92