Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen vertaald naar de Hilversumse situatie, waarbij onze keuzes ten aanzien van de invulling zijn vastgelegd. Dit beleid is gebaseerd op de ‘Baseline Informatiebeveiliging voor Gemeenten (BIG)’, een voor gemeenten specifiek gemaakte uitwerking van ISO normen voor informatiebeveiliging en best practices. Informatiebeveiliging en privacy Om onze taken als Gemeente Hilversum goed te kunnen verrichten hebben we informatie nodig: • Informatie om vragen van inwoners, bedrijven en bezoekers te beantwoorden; • Informatie om snel en efficiënt onze diensten (in één keer goed) te leveren; • Informatie om samen met andere partijen in de keten diensten te leveren, met als voorbeelden de omgevingsdienst of de zorgketen; • Informatie om goed afgewogen besluiten te nemen over de ontwikkeling van onze gemeente; • Informatie om ons handelen transparant en proactief te verantwoorden. Om onze taken betrouwbaar, op tijd, transparant en met respect voor de belangen van onze inwoners en bedrijven uit te kunnen voeren is het noodzakelijk om zorgvuldig om te gaan met deze informatie (informatieveiligheid). Het samenhangende stelsel van processen dat hiervoor zorgt noemen we ‘informatiebeveiliging’. Deze processen richten zich op: •
beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
•
exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die geautoriseerd zijn;
•
integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.
Bij het organiseren van de informatiebeveiliging is het recht op privacy een onlosmakelijk onderdeel. Elke inwoner heeft het recht om erop te kunnen rekenen dat vertrouwelijke gegevens alleen gebruikt worden voor het doel waarvoor ze verstrekt zijn, dat deze gegevens niet langer bewaard worden dan noodzakelijk en tijdig vernietigd worden conform wetgeving. Tevens heeft een inwoner het recht om de eigen gegevens in te zien. Reikwijdte informatiebeveiliging Informatiebeveiliging gaat om meer dan ‘ICT’, computers en techniek. Het gaat om alle vormen van informatie en informatiedragers. Van een papieren document, via een digitaal document of video tot en met de kennis in de hoofden van mensen (niet uitputtend). Informatiebeveiliging omvat alle informatie verwerkende systemen (programmatuur, databases, hardware etc.) maar vooral ook mensen en processen. Technisch gezien kunnen informatiesystemen nog zo goed beveiligd worden, maar als iemand bewust of onbewust informatie ‘laat slingeren’ of als er geen toezicht georganiseerd is dan blijft het risico groot. Dit beleid is van toepassing op de gehele organisatie en alle middelen, inclusief door de gemeente ingezette derden (inhuur, uitbesteding van taken aan andere partijen), informatiesystemen/ middelen waarbij het beheer door de gemeente bij derden is belegd en privé middelen van medewerkers die worden gebruikt in / voor toegang tot de werkomgeving. Het beleid is ook van toepassing op (de afspraken die worden gemaakt in het kader van) samenwerkingsverbanden.
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
1
Informatiebeveiligingsbeleid 2015-2018 Opbouw document Dit document bestaat uit twee delen: 1. het informatiebeveiligingsbeleid, bestaande uit visie en inrichtingsprincipes; 2. de organisatie van informatiebeveiliging: hoe zijn de verantwoordelijkheden verdeeld en hoe ziet de PDCA cyclus met verantwoording richting college en raad eruit. Visie Informatie is één van de belangrijkste bedrijfsmiddelen van de Gemeente Hilversum. Zonder actuele en betrouwbare informatie, op de juiste plaats en op de juiste tijd, kunnen wij onze taken niet naar behoren vervullen. We werken met informatie om diensten te leveren aan onze inwoners en bedrijven, en om richting te geven aan de ontwikkeling van onze gemeente. We zijn open en transparant in wat we doen en waarom we het doen. We helpen onze inwoners en bedrijven ‘in één keer goed’ en voorkomen dat we dezelfde vraag twee keer stellen door goed gebruik van de informatie die wij hebben. Om dit te kunnen doen zien wij informatie als ‘open tenzij’. Maar met een nadrukkelijke ‘tenzij’, omdat informatie privacy of belangen van personen of organisaties kan schaden. Het is onze verantwoordelijkheid om deze rechten te beschermen. Zodat iedereen erop kan vertrouwen dat zorgvuldig met zijn/haar gegevens wordt omgegaan en dat privacy gewaarborgd is. Wij zoeken daarbij naar een goede balans tussen de te nemen maatregelen en het behouden van een goede en efficiënte dienstverlening, een transparant proces en acceptabele kosten. Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van organisatorisch en technische borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken, en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens. Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen. De ontwikkelingen in de samenleving en technologie maken dat informatiebeveiliging en privacy steeds belangrijker worden. Toenemende digitalisering en samenwerking met andere partijen in dienstverleningsketens leidt tot meer en makkelijker uitwisselen van informatie. Onze inwoners en bedrijven willen snel en digitaal geholpen worden, maar willen dit doen met behoud van hun recht op privacy. Onze medewerkers willen en moeten steeds meer ‘anyplace en anytime’ kunnen werken, maar dit mag niet leiden tot informatie die ‘op straat ligt’. En onze kantooromgeving ontwikkelt zich, door ‘het nieuwe werken’ en samenwerking met andere partijen, tot een ontmoetingsplek waarin de gemeente gastheer is. Het beveiligen is daarbij extra lastig omdat een deel van onze kantooromgeving monumentaal is en vrij toegankelijk moet blijven. Daarom zetten we de komende jaren in op het optimaliseren van de informatieveiligheid en privacy en het verder professionaliseren van de informatiebeveiligingsfunctie. Zodat we blijven aansluiten op de veranderende wetgeving op het gebied van persoonsgegevens, en informatiebeveiliging en privacy bij alle ontwikkelingen vanaf het begin als belangrijk thema worden meegenomen.
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
2
Informatiebeveiligingsbeleid 2015-2018 10 Richtinggevende principes We zorgen ervoor dat we als Gemeente Hilversum onze informatiebeveiliging (en als onlosmakelijk onderdeel daarvan de privacy) goed georganiseerd hebben en houden. Met als richtinggevende principes die gehanteerd moeten worden bij de invulling dat: 1. aan wetgeving voldaan moet worden, met als voorbeelden (niet uitputtend) de wetgeving op het gebied van de Basisregistratie Personen (BRP), Structuur Uitvoeringsorganisaties Werk en Inkomen (SUWI) of Archiefwet; 2. we de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de onderliggende code voor informatiebeveiliging (NEN/ISO 27002) als basis voor de inrichting van onze informatiebeveiliging gebruiken; 3. we binnen deze kaders gaan voor het beheersen van risico’s tegen acceptabele kosten, waarbij we een zorgvuldige en transparante afweging maken van informatiebeveiliging en het recht op privacy versus de gewenste transparantie en het ‘in één keer goed’ onze diensten kunnen leveren; 4. toegang tot, gebruik van en uitwisseling van vertrouwelijke / geheime informatie aantoonbaar gebonden moet zijn aan het vervullen van een aan onze gemeente toegewezen taak. Het is (tijdig) transparant voor de inwoner of er wel of niet toestemming gegeven moet worden voor gebruik of uitwisseling; 5. informatiebeveiliging niet alleen om techniek en procedures gaat maar vooral om mensen en gedrag, en dat daarom de verantwoordelijkheid voor informatiebeveiliging bij het lijnmanagement ligt, met het College van B&W als eindverantwoordelijke; 6. dat we bij samenwerking in ketens, bij uitbesteed werk of in samenwerkingsverbanden verantwoordelijk blijven voor informatiebeveiliging. In de samenwerking met andere overheidsinstellingen gaan we uit van het ‘Schengen principe’ als zij aantoonbaar hun informatie conform wetgeving en richtlijnen beveiligen. Wij zijn transparant in welke informatie wij met hen uitwisselen en welke afspraken we gemaakt hebben; 7. het toepassen van het beleid, namelijk veilig omgaan met informatie, een zaak voor iedereen is die werkt namens de gemeente. Ongeacht of deze vast of tijdelijk in dienst is of iemand die bij een partner of ingehuurd werkzaamheden voor ons verricht; 8. elke medewerker weet wat informatiebeveiliging en privacy inhouden en zich ervan bewust is dat hij/zij een duidelijke eigen verantwoordelijkheid heeft. Zowel in het zelf veilig omgaan met en uitwisselen van informatie als in het melden van ‘beveiligingsincidenten’; 9. informatiebeveiliging om toezicht en onderhoud vraagt en een integraal onderdeel moet zijn in de (plan-do-check-act cyclus van de) bedrijfsvoering; 10. informatiebeveiliging onafhankelijke regie vraagt en af en toe ingrijpen in bestaande structuren, en dus centrale en onafhankelijke functionarissen.
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
3
Informatiebeveiligingsbeleid 2015-2018 Organisatie van de informatiebeveiliging Informatiebeveiliging is onlosmakelijk verbonden met het beheren van informatie. De organisatie van de informatiebeveiliging sluit daarom aan op de organisatie zoals opgenomen in het de Archiefverordening 2013 en het Besluit Informatiebeheer 2013. •
Gemeenteraad
Adviserend richting College en ‘horizontaal toezicht’
•
College van B&W
Eindverantwoordelijk (portefeuille P&O), stelt het informatiebeveiligingsbeleid vast, rapporteert jaarlijks aan de Raad over plannen en effecten
•
Gemeentesecretaris
Ambtelijk eindverantwoordelijk
•
Afdelingsmanagers/ proceseigenaren
Informatieveiligheid eigen processen, risico-afweging, implementatie, toezicht en sturing op naleving eigen proces.
•
Afdelingsmanager belast met informatiemanagement
Overall toezicht op naleving, regie, rapportage, evaluatie, kwaliteitssysteem (rol chief information security officer)
•
Afdelingsmanager belast met informatiebeheer
Uitvoering fysieke, functionele/logische (rechten) en technische (ICT) beveiliging, beheer incidentenregistratie
Risicobenadering We werken vanuit een risicobenadering: de effecten van de maatregelen moeten in verhouding staan tot de noodzakelijke beveiliging. Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen gebruiken we beveiligingsclassificaties. Deze geven aan welk beschermingsniveau noodzakelijk is voor welke proces en/of informatiesysteem, en maakt duidelijk welke maatregelen genomen moeten worden. In de onderstaande tabel wordt deze classificatie weergegeven. Niveau
Vertrouwelijkheid
Integriteit
Beschikbaarheid
Geen
Openbaar
Niet zeker
Niet nodig
informatie mag door
informatie mag worden
gegevens kunnen zonder
iedereen worden ingezien
veranderd
gevolgen langere tijd niet
(bv: algemene informatie
(bv: templates en
beschikbaar zijn
op de externe website)
sjablonen)
(bv: ondersteunende tools)
Bedrijfsvertrouwelijk
Beschermd
Noodzakelijk
informatie is toegankelijk
het bedrijfsproces staat
informatie mag incidenteel
voor alle medewerkers van
enkele (integriteits-) fouten
niet beschikbaar zijn
de organisatie
toe
(bv: administratieve
(bv: informatie op intranet)
(bv: rapportages)
gegevens)
Vertrouwelijk
Hoog
Belangrijk
informatie is alleen
het bedrijfsproces staat zeer
informatie moet vrijwel
toegankelijk voor een
weinig fouten toe
altijd beschikbaar zijn,
beperkte groep gebruikers
(bv:
continuïteit is belangrijk
(bv: persoonsgegevens,
bedrijfsvoeringinformatie en
(bv: primaire proces
financiële gegevens
primaire procesinformatie
informatie)
Laag
Midden
zoals vergunningen) Hoog
Geheim
Absoluut
Essentieel
informatie is alleen
het bedrijfsproces staat
informatie mag alleen in
toegankelijk voor direct
geen fouten toe
uitzonderlijke situaties
geadresseerde(n)
(bv: gemeentelijke
uitvallen, bijvoorbeeld bij
(bv: zorggegevens en
informatie op de website)
calamiteiten
strafrechtelijke informatie)
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
(bv: basisregistraties)
4
Informatiebeveiligingsbeleid 2015-2018
De proceseigenaar (of de eigenaar van het informatiesysteem) bepaalt welke maatregelen genomen moeten worden op basis van een risicoanalyse, waarbij de kans en het effect het risico bepalen. De door de proceseigenaar gemaakte risicoafweging, tussen enerzijds het risico en anderzijds de kosten en consequenties van de maatregelen conform de beschermingseisen, wordt vastgelegd. Plan-Do-Check-Act (PDCA) Informatiebeveiliging vraagt om continue verbetering. De hiervoor noodzakelijke PDCA cyclus – de kwaliteitscyclus – is onderdeel van het kwaliteitssysteem. Dit sluit aan bij de werkwijze zoals benoemd in het Besluit Informatiebeheer 2013. De cyclus begint met informatiebeveiligingsbeleid. Dit wordt minimaal 3-jaarlijks herzien. Binnen deze 3-jaarlijkse cyclus wordt een informatiebeveiligingsplan opgesteld naar aanleiding van een ‘GAP-analyse’1. Dit plan wordt minimaal eens per jaar herzien. Afdelingsspecifieke / proces specifieke activiteiten worden opgenomen in het afdelingsplan van de proceseigenaar. De (voortgang van de) uitvoering van de verbeteracties uit het plan wordt gemonitord en periodiek gerapporteerd aan de gemeentesecretaris. Het daadwerkelijke effect van de inspanningen op het gebied van informatiebeveiliging wordt getoetst binnen het proces (incidentregistratie, verbetervoorstellen). Maar ook in de vorm van controles van ‘buiten het proces’: door onafhankelijke interne auditors en externe toezichthouders (rijksoverheid voor basisregistraties, accountant). Met welke frequentie en door wie is afhankelijk van de risico’s en wetgeving voor het betreffende proces of informatiesysteem. De bevindingen worden periodiek, maar minimaal jaarlijks, gerapporteerd aan de proceseigenaren en de gemeentesecretaris. Het college neemt (de hoofdlijnen van) het verbeterplan op in de begroting en rapporteert bij de jaarrekening over de uitgevoerde verbeteracties en het effect hiervan op de informatiebeveiliging. Op deze manier kan de raad haar verantwoordelijkheid voor ‘horizontaal toezicht’ invullen. Kwaliteitssysteem Zoals in de vorige paragraaf aangegeven wordt de PDCA cyclus vastgelegd in het kwaliteitssysteem. Dit is geen fysiek systeem, maar een zorgvuldig beheerste verzameling van vastgelegde processen, procedures en andere beheersmaatregelen (organisatorische, personele of technische maatregelen). Ook de vastlegging van de risico-afweging en het besluit over de beheersmaatregelen zullen in dit systeem worden opgenomen. Onder de vastlegging van de beheersmaatregelen valt ook een nadere uitwerking van de spelregels ten aanzien van privacy. Deze is niet opgenomen in het beleid omdat deze spelregels tussentijds moeten kunnen veranderen als hier aanleiding toe is. De actuele spelregels zullen gepubliceerd worden zodat voor iedereen duidelijk is hoe we omgaan met (hun) privacy.
1
Zie Baseline Informatiebeveiliging Nederlandse Gemeenten – GAP Analyse
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
5
Informatiebeveiligingsbeleid 2015-2018 Bijlage: van toepassing zijnde wet- en regelgeving De belangrijkste algemeen van toepassing zijnde wet- en regelgeving en richtlijnen waarop dit beleid gebaseerd is, en die wordt toegepast bij de uitwerking van het beleid omvat: • Artikel 8 Europees Verdrag voor de Rechten van de Mens • Artikel 10 Grondwet • Artikel 272 Wetboek van strafrecht • Wet bescherming persoonsgegevens (Wbp), die (waarschijnlijk in 2016) opgevolgd gaat worden door Europese wetgeving op het gebied van bescherming van persoonsgegevens • Wet Openbaarheid Bestuur (Wob) • Archiefwet, archiefbesluit en archiefregelingen •
NEN/ISO 27001 (2005) en 27002 (Code voor Informatiebeveiliging) (2007)
•
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013: https://www.ibdgemeenten.nl/
Daarnaast kunnen er per domein aanvullende wetten en regels gelden op het gebied van informatiebeveiliging en privacy. Voorbeelden hiervan zijn: • Wet maatschappelijke ondersteuning (WMO) • Wet op de jeugdzorg (Wjz), en vanaf 2015 de Jeugdwet Deze aanvullende regelgeving wordt meegenomen bij de uitwerking van het beleid.
Auteur: Jan Willem Woolderink Versie: 1.4 Datum: 10 februari 2015
6