Informatiebeveiligingsplan GBA 2013 Gemeente Waalwijk
Inhoudsopgave 1
INLEIDING ...................................................................................................... 2 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8
2
BEVEILIGING ................................................................................................. 5 2.1 2.2 2.3
3
BELEIDSDOELSTELLINGEN....................................................................................... 16 WETTELIJKE VERPLICHTINGEN ................................................................................ 16 TAKEN, VERANTWOORDELIJKHEDEN EN BEVOEGDHEDEN ..................................... 18 PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN ........................ 20
RISICO ANALYSE ........................................................................................ 23 4.1 4.2 4.3 4.4 4.5
5
WAAROM BEVEILIGEN? ............................................................................................. 5 WAT BEVEILIGEN? ..................................................................................................... 6 WAAR TEGEN MOET WORDEN BEVEILIGD?............................................................... 9
INFORMATIEBEVEILIGINGSBELEID.................................................... 16 3.1 3.2 3.3 3.4
4
ALGEMEEN .................................................................................................................. 2 WIJZIGINGEN TEN OPZICHTE VAN DE VORIGE VERSIE............................................ 2 GOEDKEURING ........................................................................................................... 2 WERKGROEP INFORMATIEBEVEILIGING GBA.......................................................... 3 GEÏNTERVIEWDEN ..................................................................................................... 3 VERANTWOORDING.................................................................................................... 3 JAARLIJKSE ACTUALISERING ..................................................................................... 3 PERIODIEKE AUDIT EN ONDERZOEK ......................................................................... 4
INLEIDING ................................................................................................................ 23 HET HOE EN WAAROM VAN EEN RISICO ANALYSE .................................................. 23 WAARSCHIJNLIJKHEID EN EFFECT .......................................................................... 24 PRIORITEITSTELLING ............................................................................................... 25 GENOMEN EN TE NEMEN MAATREGELEN ................................................................. 27
PROCEDURES BEVEILIGING GBA ......................................................... 43 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10
PROCEDURE BACK-UP VAN DE GBA-APPLICATIE ................................................. 43 PROCEDURE RESTORE VAN DE GBA-APPLICATIE ................................................. 47 PROCEDURE HERSTEL VAN MUTATIES .................................................................... 51 PROCEDURE UITWIJK .............................................................................................. 57 PROCEDURE COMMUNICATIE OVER BEVEILIGING .................................................. 61 PROCEDURE GEGEVENSVERWERKING .................................................................... 63 PROCEDURE TERUGMELDINGEN .............................................................................. 65 PROCEDURE ADRESONDERZOEK EN DE AFWIKKELING .......................................... 67 PROCEDURE RAPPORTAGE VAN INCIDENTEN ......................................................... 70 BEHEERREGELING GBA ...................................................................................... 73
6. INTERNE DISTRIBUTIELIJST “INFORMATIEBEVEILGINGSPLAN GBA 2013”............................................................................................................ 83
Informatiebeveiligingsplan GBA Waalwijk
pagina 1 van 84
1 Inleiding 1.1 Algemeen Voorliggend Informatiebeveiligingsplan GBA is bedoeld om de risico’s, verbonden aan het toenemend gebruik van computersystemen, zichtbaar te maken en aan te geven hoe deze risico’s maximaal kunnen worden ingeperkt. Het op schrift stellen van de – in de praktijk van alledag al ingeburgerde – beveiligingsprocedures is noodzakelijk om objectief te kunnen bepalen of de GBAbestanden en bepaalde processen voldoen aan de eisen ten aanzien van beschikbaarheid (continuïteit), integriteit (betrouwbaarheid), vertrouwelijkheid (exclusiviteit) en controleerbaarheid.
1.2 Wijzigingen ten opzichte van de vorige versie Vorig jaar is het Informatiebeveiligingsplan GBA 2012 vastgesteld. Nu ligt er een nieuwe versie voor, het Informatiebeveiligingsplan GBA 2013. Aanpassingen waren nodig op de volgende punten: 1. De procedure Uitwijk is aangepast omdat de gemeente Waalwijk een tweede ICTomgeving heeft gerealiseerd. Hierdoor is een uitwijkcontract met IBM niet meer nodig. In geval van een calamiteit kan de uitwijk nu plaatsvinden bij het datacenter Brabant. 2. De procedure Adresonderzoek is aangepast. In het afgelopen jaar wordt gebruikgemaakt van een digitaal documentair opslagsysteem waar adresonderzoek-zaken in worden behandeld en opgeslagen. Voorts krijgen we naar verwachting in 2013 een inkijkmogelijkheid in het SUWI-net systeem van het UWV waar informatie ingewonnen kan worden omtrent de mogelijke verblijfplaats van iemand wanneer zijn adresinschrijving in onderzoek staat. 3. De taken en verantwoordelijkheden van de beveiligingsfunctionaris zijn duidelijker omschreven in paragraaf 3.3.3. Daarbij is nieuw opgenomen dat de beveiligingsfunctionaris voor 1 november van het lopende jaar zijn rapportage aan het college aanbiedt. In de nieuwe wet BRP (die nog in werking moet treden) is bepaald dat de gemeente op 1 november de door het college vastgestelde rapportage aan het Agentschap BPR heeft toegezonden.
1.3 Goedkeuring Goedkeuring van de in dit document opgenomen beveiligingsprocedures vindt plaats nadat de betrokken personen van de werkgroep informatiebeveiliging overeenstemming hebben bereikt over wat in het Informatiebeveiligingsplan GBA staat beschreven. Het Informatiebeveiligingsplan GBA 2012 is vastgesteld door het College van Waalwijk op onder intrekking van het Informatiebeveiligingsplan GBA 2012 van 6 maart 2012. Het hoofd van de afdeling Publiekszaken is bevoegd de procedures genoemd onder hoofdstuk 5.1 t/m 5.9 te wijzigen. Met het vaststellen van het Informatiebeveiligingsplan wordt ook de Beheerregeling GBA opnieuw vastgesteld (hierin zijn thans geen wijzigingen opgenomen). Het college van Waalwijk, de secretaris,
de burgemeester,
w.g.
w.g.
drs. J. Lagendijk
drs. A.M.P. Kleijngeld
Informatiebeveiligingsplan GBA Waalwijk
pagina 2 van 84
1.4 Werkgroep Informatiebeveiliging GBA Ten behoeve van de totstandkoming van en periodieke afstemming (minimaal éénmaal per jaar) over voorliggend Informatiebeveiligingsplan GBA is in de gemeente Waalwijk een werkgroep Informatie- beveiliging GBA geformeerd. Deze werkgroep Informatiebeveiliging GBA bestaat uit de volgende functies:
Hoofd Publiekszaken. Kwaliteitsmedewerker Publiekszaken. Senior medewerker Publiekszaken Applicatiebeheerder GBA Senior systeem- en netwerkbeheerder. Medewerker Interne Controle/beveiligingsfunctionaris. Beleidsmedewerker Facilitaire Zaken. P.O. & I. adviseur.
1.5 Geïnterviewden Ten behoeve van de totstandkoming van het voorliggend Informatiebeveiligingsplan GBA is in september 2013 met de volgende personen overleg geweest.
Hoofd Publiekszaken: M.C.A. van Eijk Teamleider Publiekszaken : N. Heijmans-Visser Kwaliteitsmedewerker Publiekszaken : J.F.M. Maas en M. Beckers Applicatiebeheerder GBA : R.P.L. Kempe Informatiemanager : drs. ing. J. Ubbels Senior systeem- en netwerkbeheerder : W.A.A.M. de Graaff Beleidsmedewerker Facilitaire Zaken : H. van Geffen HRM adviseur : F. Eijsvogels
Bovenstaande medewerkers hebben of een sleutelrol in het beheer van de kernapplicatie GBA, of in de (fysieke) beveiliging van het gemeentehuis.
1.6 Verantwoording Voorliggend Informatiebeveiligingsplan GBA is gebaseerd op de normen zoals vastgesteld in de Code voor Informatiebeveiliging. De Code is gebaseerd op de beste praktijkmethoden voor informatiebeveiliging zoals internationaal gebruikt in vele toonaangevende bedrijven. De Code komt oorspronkelijk uit Groot Brittannië en is daar ontwikkeld door de British Standards Institutions (DISC), British Telecom, Marks and Spencer plc, Midland Bank, Shell en Unilever. De Nederlandse versie van de Code voor Informatiebeveiliging wordt onderhouden door het Nederlands Normalisatie-instituut en is op kosten van het Ministerie van Economische Zaken doorontwikkeld. Aan de Nederlandse versie hebben meegewerkt: FENIT (Federatie van Nederlandse Informatie Technologie), KEMA, KPN, Philips, Nederlandse Vereniging van Banken, Shell, Unilever, ACIB (Advies en Coördinatiepunt Informatie Beveiliging als onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties).
1.7 Jaarlijkse actualisering Het Informatiebeveiligingsplan GBA en de aangedragen en genomen beveiligingsmaatregelen worden jaarlijks geëvalueerd en eventueel bijgesteld door de werkgroep Informatiebeveiliging GBA en vervolgens rechtstreeks aangeboden ter advisering aan het directieteam. Daarna wordt het geactualiseerde Informatiebeveiligingsplan GBA aangeboden ter vaststelling aan het College van Waalwijk. Informatiebeveiligingsplan GBA Waalwijk
pagina 3 van 84
De bij de jaarlijkse evaluatie geconstateerde afwijkingen worden schriftelijk vastgelegd en 5 jaar bewaard bij het Informatiebeveiligingsplan GBA. Op de eventueel geconstateerde lacunes wordt actie ondernomen.
1.8 Periodieke audit en onderzoek De in het voorliggend Informatiebeveiligingsplan GBA voorgestelde beveiligingsmaatregelen en –procedures vormen voor een groot deel eens in de drie jaar object van onderzoek bij de door het ministerie van Binnenlandse Zaken en Koninkrijkrelaties, agentschap BPR, voorgeschreven GBA-audit. Hierbij wordt aangetekend dat bij de GBAaudit niet alleen wordt gekeken naar opzet en bestaan van de maatregelen, maar ook naar de werking, wat een regelmatige beproeving van de beschreven procedures noodzakelijk maakt. Uitvoering en evaluatie Informatiebeveiliging is pas effectief als deze op een gestructureerde manier wordt aangepakt. De basis hiervoor is de Beleidsdoelstelling van het informatiebeveiligingsbeleid. Binnen de organisatie moeten medewerkers verantwoordelijkheden krijgen voor de implementatie van dit beleid. In de Bijlage Beheerregeling GBA is een en ander uitgewerkt. De medewerkers worden betrokken (o.a. tijdens werkoverleg) bij de ontwikkeling en implementatie van zowel het beleid als de uitvoering. Daarnaast moet door de beveiligingsfunctionaris worden vastgesteld of de maatregelen worden nageleefd. Verder dient het de aanbeveling minimaal eenmaal per jaar het beleid te evalueren en eventueel te herzien. Het voorliggend Informatiebeveiligingsplan GBA bevat tevens een stelsel van procedures en maatregelen voor de dagelijkse praktijk. Dit stelsel moet regelmatig worden bezien op actualiteit. In het Informatiebeveiligingsplan GBA zijn daarom afspraken vastgelegd over de verantwoordelijkheid voor handhaving en naleving van de getroffen maatregelen en procedures. De belangrijkste afspraak in dit verband is dat het voorliggend Informatiebeveiligingsplan GBA jaarlijks opnieuw moet worden bekeken op actualiteit en dat de wijzigingen worden vastgesteld door het college, waarbij tevens wordt gecontroleerd op naleving van de beleidsuitgangspunten. Hiervoor is per maatregel voorzien in een rapportage door de daartoe aangewezen functionaris. Daarnaast dient het gehele beleid minimaal eenmaal per raadsperiode te worden herijkt.
Informatiebeveiligingsplan GBA Waalwijk
pagina 4 van 84
2 Beveiliging 2.1 Waarom beveiligen? De dagelijkse taakuitoefening wordt steeds meer beheerst door het gebruik van computers. Daarbij ontstaat informatie die van wezenlijk belang is voor het functioneren van de gemeentelijke organisatie. De gemeentelijke organisatie is als gevolg van deze ontwikkeling in toenemende mate afhankelijk van een ongestoorde werking van haar informatiesystemen. Informatiesystemen zijn langzamerhand het zenuwcentrum geworden van de gemeentelijke organisatie. Dat wordt gekarakteriseerd door:
Probleemloos samenwerken van medewerkers op verschillende locaties. Het steeds groter worden van gegevensverzamelingen. De snelheid waarmee gegevens kunnen worden verwerkt. De (on)leesbaarheid voor de mens van vastgelegde gegevens. De éénmalige vastlegging ten behoeve van meerdere toepassingen en gebruikers. Concentratie van specifieke (informatiserings)kennis bij enkelen.
De kwetsbaarheid van deze gemeentelijke informatiesystemen is dan ook een groot risico, waarvan de gemeentelijke organisatie zeer nadelige gevolgen kan ondervinden. Het is dus zaak door middel van zowel preventieve als repressieve beveiligingsmaatregelen de risico’s zoveel mogelijk te beperken. Maar het zijn niet slechts interne redenen waarom de gemeente haar informatievoorziening moet beveiligen. Ook de wetgever stelt een aantal eisen. Voor wat betreft de GBA wordt verwezen naar de het eerste hoofdstuk van dit plan. Daarnaast worden in de Wet bescherming persoonsgegevens (WBP) die per 1 september 2001 van kracht is geworden, eisen gesteld die zich tegen "verlies of enige vorm van onrechtmatige verwerking van gegevens" richten. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. De gemeente moet in het kader van de WBP “passende” beveiligingsmaatregelen nemen. In het begrip "passend" ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van gegevens. Afhankelijkheids-analyse Om het belang van de ongestoorde werking van de GBA verder toe te lichten wordt toegelicht in welke mate de organisatie en dienstverlening afhankelijk is van deze processen. De GBA maakt deel uit van het stelsel van basisregistraties. Dit betekent dat de gemeente bronhouder is van persoonsgegevens voor geautomatiseerde toepassingen van de overheid. De GBA is verbonden met een landelijk netwerk, GBA-V genaamd, waarmee persoonsgegevens landelijk kunnen worden uitgewisseld met andere gemeenten en overheidsinstellingen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 5 van 84
Daarnaast zijn er aangewezen afnemers die gebruikmaken van de persoonsgegevens. Voorbeelden zijn de Belastingdienst, de SVB, pensioenfondsen, ziektekostenverzekeraars en dergelijke. Het gebruikmaken van basisregistraties is wettelijk verplicht. De GBA is daarnaast voor de persoonsgegevens leidend voor toepassingen binnen de gemeente. Via de zogenaamde gegevensmakelaar worden persoonsgegevens verdeeld naar andere taakspecifieke applicaties zoals WOZ/Belastingen en Leerlingenvervoer.
De afhankelijkheid van andere afnemers binnen en buiten de gemeente van de GBA is dus zeer groot. Een uitmuntende beveiliging is dus van groot belang.
2.2 Wat beveiligen? De functie van een informatiesysteem kan worden omschreven als het vastleggen, opslaan en verwerken van gegevens en het verstrekken van informatie. Beveiliging heeft derhalve niet alleen betrekking op de hardware, maar ook op het gebruik ervan. Ergo, de computerbeveiliging richt zich op de volgende beveiligingsobjecten:
Hardware en supplies. Software. Gegevens (data). Datacommunicatie. Systeem- en applicatiedocumentatie. Het gebouw (gemeentehuis en gemeentewerf). Werkplek. Het personeel.
De middelen die ten aanzien van deze beveiliging worden ingezet richten zich op het voorkómen, het ontdekken en het herstellen van de schade. De schade kan van materiële of immateriële aard zijn. De schade kan per ongeluk zijn ontstaan of opzettelijk zijn toegebracht. Logische informatiebeveiliging is geen op zichzelf staande inspanning, doch maakt deel uit van de algehele beveiliging. Een aantal maatregelen ligt dan ook in het verlengde van de al geldende beveiligingsmaatregelen, voornamelijk waar deze betrekking hebben op de fysieke beveiliging van het gebouw en de werkplek.
Informatiebeveiligingsplan GBA Waalwijk
pagina 6 van 84
In het kader van de gemeentelijke basisadministratie zijn ten aanzien van de veiligheid van gegevens hoge eisen gesteld. Om aan die eisen tegemoet te kunnen komen, dient, met respect voor de eigen omgeving, het beheer adequaat te zijn ingericht. Het begint ermee dat de eigen processen aan een stevige analyse worden onderworpen. De analyse is er op gericht dat de bedreigingen in beeld worden gebracht. Vervolgens moet de kans op optreden van die bedreigingen zo effectief mogelijk naar een zo laag mogelijk niveau worden gebracht. Beveiliging van gegevens vraagt om zorgvuldige analyses van de risico’s die met die gegevens samenhangen. Gegevens kunnen verloren gaan, verminkt en daardoor onbetrouwbaar worden en tenslotte in volledig verkeerde handen vallen. Het voorliggend Informatiebeveiligingsplan GBA beperkt zich dan ook tot de logische informatiebeveiliging. Onder informatiebeveiliging wordt in dit kader verstaan een samenhangend geheel van maatregelen dat de beschikbaarheid, exclusiviteit en integriteit van de gegevens garandeert. Teneinde te komen tot een zo verantwoord mogelijke toepassing van informatiesystemen in de gemeentelijke organisatie is het van essentieel belang via een stelsel van richtlijnen en procedures aan te geven hoe de beheerders en gebruikers dienen om te gaan met deze informatiesystemen. In dit hoofdstuk wordt dieper ingegaan op de hoedanigheid van de verschillende beveiligingsobjecten. 2.2.1 Hardware Onder hardware wordt verstaan:
Server(s). Systeemconsole. Terminals inclusief beeldschermen, muis en toetsenbord Pc’s inclusief beeldschermen, muis en toetsenbord. Laptops, Tablets en smartphones.. Tape-unit. UPS. Patchkast met bekabeling. Randapparatuur zoals printers, plotter, CD-ROM spelers, paspoortconfiguratie. Communicatieapparatuur. Supplies als tapes, Cd’s en.
tapestreamers,
en
De hardware lijkt zo op het oog een nogal kwetsbaar beveiligingsobject. In fysieke zin is dit ongetwijfeld juist. Wel moet worden bedacht dat de hardware, in tegenstelling tot de software, vrij snel vervangbaar is, waarna het verwerkingsproces kan worden hervat. Zo is er voor de AS400-server een 4 uur (respons) onderhoudscontract met een up-time garantie van 8 uur afgesloten door de gemeente Waalwijk. Een andere mogelijkheid is om het verwerkingsproces bij calamiteiten tijdelijk voort te zetten op bij het uitwijkcentrum aanwezige identieke hardware. De gemeente Waalwijk heeft hiervoor een tweede ICT-locatie in bedrijf bij DataCenter Brabant in Waalwijk. 2.2.2 Software De gemeente heeft in verreweg de meeste gevallen standaard software aangeschaft. Derhalve draagt de leverancier van de standaardprogrammatuur zorg voor beveiliging van de originele programmatuur. Bij calamiteiten kan de beschadigde of verloren software in principe altijd worden vervangen. Dit laat onverlet dat de programmatuur regelmatig moet worden beveiligd. Er is geen sprake van een eigen systeemontwikkeling. Informatiebeveiligingsplan GBA Waalwijk
pagina 7 van 84
De gemeente Waalwijk gebruikt in het kader van voorliggend Informatiebeveiligingsplan GBA op het AS400-systeem de applicatie Cipers van de leverancier PinkRoccade Local Government 2.2.3 Gegevens Gegevens zijn over het algemeen voor iedere organisatie uniek. Indien gegevens om wat voor reden dan ook verloren gaan kan men, tenzij men maatregelen heeft genomen, nergens meer op terugvallen. Reconstrueren van gegevens (voor zover mogelijk) is een kostbare en tijdrovende aangelegenheid. Het is daarom van het grootste belang dat de gegevens elke werkdag worden gekopieerd naar een back-up medium, zodat bij calamiteiten de operationele versie onmiddellijk kan worden vervangen door de laatst gemaakte kopie. De gebruikte methode voor het maken van een back-up is de zogenaamde generatiebeveiliging. 2.2.4 Datacommunicatie verbindingen Onder verbindingen worden verstaan de communicatielijnen die verschillende computers onderling met elkaar verbinden. Voornamelijk zodra het openbare telefoonnet als communicatiemedium wordt gebruikt loopt men het risico dat onbevoegden het informatiesysteem binnendringen. Het is een goede zaak ernstig rekening te houden met mogelijke hackers. De enige afdoende beveiliging in deze situatie is de zogenaamde cryptografie, waarmee de over de communicatielijn te transporteren gegevens onleesbaar worden gemaakt voor onbevoegden. Voor het transport van bijvoorbeeld geheime data is cryptografie eigenlijk een “must”. Bij het transport van andersoortige data kan worden gehandeld als bij een niet op een openbaar netwerk aangesloten informatiesysteem. In computersystemen die niet zijn gekoppeld aan het openbare net is het gevaar van inbreuk door externe onbevoegden minder aanwezig. Toch dient ook in dit geval een stelsel van identificatiecodes en wachtwoorden te voorkomen dat interne onbevoegden het systeem kunnen binnendringen. Internet is in principe toegankelijk via de op het locale netwerk aangesloten Pc’s. Beveiliging tegen hackers en dergelijke is gewaarborgd via een eigen firewall. Daarnaast wordt een extra beveiliging nagestreefd met behulp van beveiligingssoftware van McAfee en Spohos. Deze pakketten worden continu geactualiseerd. 2.2.5 Documentatie Onder documentatie wordt verstaan: systeemdocumentatie
Hierin staat het doel en de werking van het informatiesysteem beschreven. Het betreft het volgende: o Configuratiebeschrijving. o Bekabelingsplan. o Contracten met de leveranciers. o Systeemhandboeken. o Aanwijzingen voor het onderhoud. o De te nemen acties bij storingen.
gebruikersdocumentatie
Hierin staat beschreven hoe de gebruiker dient om te gaan met de diverse applicaties. Deze documentatie wordt door de applicatieleverancier beschikbaar gesteld. Ook voor de zelf ontwikkelde applicaties geldt dat er documentatie aanwezig dient te zijn.
Informatiebeveiligingsplan GBA Waalwijk
pagina 8 van 84
De verantwoordelijkheid voor het bijhouden van de systeemdocumentatie ligt bij de senior systeem- en netwerkbeheerder. De verantwoordelijkheid voor het bijhouden van de gebruikersdocumentatie ligt bij de desbetreffende applicatiebeheerder(s). 2.2.6 Het gebouw Het gemeentehuis van Waalwijk is op een aantal manieren beveiligd. Er zijn voorzieningen getroffen ten behoeve van de fysieke beveiliging. Hierbij is conform de richtlijnen van de PUN sprake van compartimentering van het gebouw. Tevens is er een inbraak- en alarmeringssysteem aanwezig met anti-mask detectoren. Deze zijn via een beveiligde verbinding aangesloten op de N.V.D. Meldkamer te Eindhoven. Met de NVD zijn procesafspraken gemaakt voor de alarmopvolging. Een calamiteiten-voorziening en beveiliging voor het gehele gemeentehuis is voorzien in de vorm van een calamiteitenplan. (Bedrijfs Hulp Verleningsplan) De zogenoemde kritische ruimten zijn afgesloten voor het publiek. Er is een elektronische toegangs-beveiliging met compartimentering voor het gemeentehuis door middel van proximity pasjes. Tijdens avondopenstellingen is er persoonlijk toezicht op de toegang tot het gebouw door publiek in de Front-office. Beveiliging wil in dit verband ook zeggen: ontruiming in geval van brand- en/of bommeldingen. Kritische ruimten Een kritische ruimte is een ruimte waarin een kwaadwillige zoveel schade kan aanrichten dat de continuïteit van de gemeente kan worden verstoord. Een voorbeeld hiervan is de computerruimte. Door de overleggroep Informatiebeveiliging GBA worden de volgende ruimten binnen het gemeentehuis als kritisch beschouwd:
Computerruimte (inclusief telefooncentrale/patchkast). Werkruimte Publiekszaken in Waalwijk Kluisruimte Publiekszaken
Daarnaast is door de werkgroep Informatiebeveiliging GBA de volgende ruimte aangewezen die weliswaar niet bedrijfskritisch is maar wel beveiligd moeten worden. Dit omdat door brand- en/of waterschade risico’s onstaan.
Archiefruimte op het gemeentehuis in Waalwijk, waar de brondocumenten GBA zijn opgeslagen. 2.2.7 Werkplek
De servers staan in een afzonderlijke afgesloten computerruimte die zoveel mogelijk stofvrij is en waar een vorm van luchtbehandeling wordt toegepast. Uiteraard moet de computerruimte fysiek goed worden beveiligd. De werkplekken zelf zijn fysiek minder goed te beveiligen. Hier moet worden teruggevallen op de algemene beveiligingsmaatregelen van gemeentelijke gebouwen. De werkstations staan in de werkruimten en behoeven geen aparte luchtbehandeling.
2.3 Waar tegen moet worden beveiligd? 2.3.1 Inleiding Computers zijn uiterst verfijnde staaltjes van technisch vernuft en ze bestaan uit technische ingewikkelde apparatuur. Voor degene die ze moet gebruiken is het van groot belang dat kan worden vertrouwd op een ongestoorde werking. Er zijn organisaties die inmiddels zo afhankelijk zijn geworden van hun informatiesystemen dat zij in hun Informatiebeveiligingsplan GBA Waalwijk
pagina 9 van 84
voortbestaan bedreigd worden wanneer deze enige tijd niet zouden kunnen worden gebruikt (bijvoorbeeld door technische storingen of door brand). Het voortbestaan van de gemeentelijke organisatie hangt voor een belangrijk deel af van computerinstallaties. Het staat vast dat de informatievoorziening ernstig zou zijn ontregeld als een of meer operationele informatiesystemen enige tijd niet zouden kunnen worden gebruikt (denk bijvoorbeeld aan het uitvallen van het informatiesysteem van Sociale Zaken met zijn berekenings- en betalingsruns of uitvallen van het GBA systeem met de daaraan gekoppelde dienstverlening naar de burger en landelijke afnemers). Daar komt nog bij dat het belang van computers, de kwetsbaarheid ervan en de waarde die ze vertegenwoordigen, zo groot is dat dit soort installaties een uitermate geschikt doelwit zijn voor fraude, diefstal en sabotage. De ervaringen van enkele gemeenten in het verleden tonen aan dat dit niet louter theorie is. Er kunnen diverse voorzorgsmaatregelen genomen worden die er voor kunnen zorgen dat het gevaar van grote stagnatie en extra kosten als gevolg van het uitvallen van een informatiesysteem tot een minimum wordt beperkt of zelfs wordt uitgesloten. Een toenemende mate van afhankelijkheid van computers vraagt om een toenemende mate van beveiliging van die zelfde computers. 2.3.2 Bliksem, brand en explosie Bliksem is een groot gevaar voor gebouwen. Een blikseminslag kan een spanning bereiken van enkele 100.000 Volt stroom tot een stroomsterkte van 200.000 Ampère. Deze elektrische energie wordt binnen 50 tot 100 seconden vrijgemaakt en weer afgevoerd. Een blikseminslag van deze kracht veroorzaakt binnen een straal van 2 kilometer spanningspieken in de elektrische bedrading die elektronische apparaten kunnen beschadigen. Deze spanningspiek neemt af naarmate de afstand tot de inslag groter is. Wanneer een gebouw direct wordt getroffen door de bliksem kan door de vrijkomende dynamische energie het fundament worden beschadigd. Tevens kan brand uitbreken. Brand is een reëel en altijd aanwezig gevaar, het is ook de meest voorkomende calamiteit. Brand kan fataal zijn voor gehele informatiesystemen. Naast directe schade kan vuur ook grote gevolgschade aanrichten. Het door de brandweer gebruikte bluswater beschadigt ook andere (veelal lager gelegen) delen van het door brand getroffen gebouw. De gebruikte apparatuur is hier erg gevoelig voor. Bij de verbranding van het in kantoorpanden veel gebruikte PVC ontstaan chloorgassen die met het bluswater zoutzuurachtige verbindingen aangaan. Door het gebruik van klimaatbeheersings- systemen in kantoorpanden kunnen deze verbindingen door het gehele gebouw worden verspreid zodat ook de gevoelige elektronische apparatuur die ver van de brandhaard staat opgesteld, wordt aangetast. 2.3.3 Stof, vuil en water Computers zijn bijzonder gevoelig voor stof. Voor servers geldt in het algemeen dat er maatregelen moeten worden genomen om de hoeveelheid aanwezige stof zoveel mogelijk te beperken. Een luchtbehandelinginstallatie is in dat geval onontbeerlijk. Voor Pc’s is dit in mindere mate het geval. Deze hardware is zo geconstrueerd dat er geen speciale voorzieningen nodig zijn. Stofbeheersing blijft een belangrijk aspect ter voorkoming van storingen aan de hardware. Als gevolg van stof laten de filters in de koelelementen van computers steeds minder lucht door waardoor de temperatuur op een gegeven moment te hoog kan oplopen. Regelmatig onderhoud is dus geboden. Bij verwisseling van media (tapes, cd’s en diskettes) kan gemakkelijk stofinfiltratie plaatsvinden. Al met al redenen om zoveel mogelijk te werken in een schone omgeving.
Informatiebeveiligingsplan GBA Waalwijk
pagina 10 van 84
De oplossing hiervan wordt zichtbaar door rekening te houden met de volgende aanbevelingen. De apparatuur moet dan op een zodanige wijze worden geplaatst en beveiligd dat de risico's van schade, storing en gebruik door stof, vuil en water minimaal zijn. Dit wordt bereikt door:
Aandacht voor specifieke risico's, waaronder water, stof, trillingen, chemische reactie, interferentie met de elektriciteitsvoorziening en elektromagnetische straling. Verbod tot gebruik van etenswaren in kritische ruimten. Iedere medewerker er voor verantwoordelijk te houden zijn of haar eigen werkplek zoveel mogelijk stofvrij te houden. Weer zoveel mogelijk stofbronnen, zoals kartonnen dozen en bloembakken in de nabijheid van computerapparatuur.
Water in de gevoelige ICT apparatuur is verantwoordelijk voor kortsluiting, mechanische beschadiging en/of roestvorming. Doordat in de meeste kantoorgebouwen de telefooncentrale, de computerapparatuur, patchkasten en de hoofdverdelers voor de interne stroomvoorziening zijn gecentraliseerd in één fysieke ruimte, betekent waterschade in deze ruimte onmiddellijk een enorme schade. Ongecontroleerde toestroom van water kan worden veroorzaakt door:
Hoog water. Storing in het water(afvoer) systeem. Defect van het verwarmingssysteem. Defect van het klimaatbeheersingssysteem (airco). Defect van een Sprinkler installatie. Bluswater van de brandweer. 2.3.4 Stroomuitval, storingen en fouten
Ondanks de verfijnde techniek en ondanks alle preventieve maatregelen kunnen er situaties ontstaan waarbij het informatiesysteem niet meer functioneert. Naast brand en explosie kunnen ook technische storingen de werking van het informatiesysteem ernstig verstoren. Verfijnde apparatuur als netwerkservers zijn doorgaans gevoelig voor snelle temperatuurswisselingen. Vooral als het buiten heet is, kan veel apparatuur die is opgesteld in dezelfde computerruimte zijn warmte niet kwijt. De ruimte waar de computerhardware (servers/patchkast) staat is voorzien van airconditioning om een zo constant mogelijke temperatuur te waarborgen. Ondanks de hoge kwaliteit van de Nederlandse stroomvoorziening, komt het toch op jaarbasis een aantal keren voor dat de stroom uitvalt. Meestal zal de stroomonderbreking niet langer duren dan een seconde zodat mensen het in het geheel niet opmerken. ICT apparatuur kan echter verstoord raken bij een stroomonderbreking langer dan 10 ms. Van stroomtoevoer zijn niet alleen de servers, Pc’s en verlichting afhankelijk maar ook liften, buizenpost, telefoonapparatuur, beveiligingsapparatuur (brand en inbraak), airconditioning, verwarming en de watertoevoer in flats. Storingen in de stroomvoorziening kunnen in principe worden ondervangen door het plaatsen van een zogenaamde UPS (Uninteruptible Power Supply) installatie. Hoewel dit een kostbare aangelegenheid is en de kwaliteit van de geleverde elektriciteit in Nederland goed te noemen, is de hardware (zeker de servers) zodanig storingsgevoelig dat een UPS een must is. Een UPS is te vergelijken met een flinke accu. Dankzij een UPS kan een server ingeval van stroomuitval correct afgesloten worden. Voor een doelmatige beveiliging is de duur van de 'down-time' van belang. Met downtime wordt bedoeld de tijd gedurende welke het informatiesysteem niet inzetbaar is. Is een langdurige systeemuitval van meer dan een paar dagen niet acceptabel, dan zal men moeten zorgen voor een “uitwijksysteem” op de werkplek zelf of in de directe nabijheid. Informatiebeveiligingsplan GBA Waalwijk
pagina 11 van 84
Ingeval van de GBA moet de continuïteit van de dienstverlening worden verzekerd naar de externe afnemers, de interne afnemers en de burger. Het is daarom wettelijk verplicht om voor de GBA een uitwijkcontract en een eigen uitwijkprocedure te hebben. Door defecten, verkeerde bediening, ondeskundige wijziging of manipulatie en/of stroomuitval kunnen allerlei fysieke beveiligingsvoorzieningen uitvallen.
Defecte deursloten. Vervuilde brandmelders. Beschadigde sleutels of badges. Vastgeklemde regelcontacten in deuren. Ingebrande schermen van beveiligingsmonitoren. Modems en lijnverbindingen.
Dit soort problemen kunnen doorgaans niet worden opgelost door de gebruiker. Contact met de leverancier is in dat geval noodzakelijk. Storingen aan de software kunnen een ernstig karakter krijgen als blijkt dat de software onverhoopt niet voorziet in bepaalde praktijksituaties. De enige vorm van beveiliging is hier een uitgebreide en diepgaande testperiode, voorafgaand aan de ingebruikneming van de software. Een veel voorkomende groep van storingen wordt gevormd door printerstoringen. Deze zijn doorgaans snel oplosbaar maar vormen een niet aflatende bron van irritaties voor de gebruikers. 2.3.5 Diefstal, sabotage, virussen en fraude door derden Diefstal Door de beperkte omvang van Pc’s en zeker laptops is het voorkomen van diefstal van hardware een zaak geworden die wel degelijk aandacht verdient. Immers, een laptop is al in een aktetas mee te nemen. En wat te denken van opslagmedia als tapecassettes, diskettes. Hoewel dit geen dure apparatuur betreft zijn ze wel bruikbaar in de privésfeer. Er zijn echter nog andere risico’s verbonden aan onbevoegde aanwezigheid:
Diefstal. Inzage door onbevoegden in privacygevoelige gegevens (documenten of dossiers). Manipulatie van papieren gegevens (b.v. aanvraagformulieren). Manipulatie van geautomatiseerde gegevens. Diefstal van materiële eigendommen van medewerkers. Observaties (voorverkenning) waarmee criminele activiteiten kunnen worden voorbereid.
Fysieke beveiligingsmaatregelen in het kader van diefstal kunnen zoal bestaan uit:
Begeleiding van bezoekers. Afwezigheid van de aanduiding van kritische ruimten; geen opslag van gevaarlijke stoffen in kritische ruimten. Aanwezigheid van detectiemiddelen en schadebeperkende voorzieningen in en rondom kritische ruimten.
Sabotage Onder sabotage wordt verstaan het moedwillig verstoren van het geautomatiseerde verwerkingsproces. Het probleem is hier dat we niet te maken hebben met situaties die op een of andere manier te voorzien zijn, voortkomen uit het falen van de techniek of een gevolg zijn van fouten en ongelukken. Nee, we hebben hier te maken met kwaadwillende mensen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 12 van 84
Sabotage kan plaatsvinden door het eigen personeel of door onbekende individuen die alleen of in groepsverband optreden. Bescherming hiertegen is, temeer daar gemeentelijke gebouwen in principe een “open” karakter hebben, moeilijk. Nochtans is het wenselijk geen hardware in de nabijheid van ramen te plaatsen. Bevinden computers zich op de begane grond, dan is het aan te bevelen, ter voorkoming van het ingooien van ruiten, de ramen te voorzien van slagvast glas. Virussen Een bijzondere vorm van sabotage vormen de virussen. De grootste bedreiging voor Pc’s is dat deze via Internet onverhoeds een computervirus oploopt. Internet kent een groot aantal verschillende virussen. Zo zijn er de zogenaamde Trojaanse paarden: besmette programma's die verstopt zitten in andere programma's. De meeste virussen tasten de gegevens op de harde schijf aan, zodat belangrijke informatie verloren gaat, maar er zijn ook virussen die gehele Pc’s in een keer ruïneren. Over het algemeen verspreiden computervirussen zich als bijgevoegde bestanden bij email en via programma's die van Internet zijn te downloaden. Virussen zitten verstopt in besmette computerprogramma's die heel gewoon lijken, bijvoorbeeld een screensaver of een spelletje. Zodra u een programma opent dat besmet is met een virus, wordt dit virus actief en kan het veel schade berokkenen. Uw computer kan geïnfecteerd raken met een virus via valse bestanden of via onbetrouwbare webpagina's. De beste verdediging tegen virussen en Trojaanse paarden is het gebruik van een recent anti-virusprogramma. Het is hierbij erg belangrijk dat er regelmatig een recente viruslijst wordt gedownload van de webpagina van de leverancier van de anti-virussoftware. Verder is het van groot belang dat er geen onbekende bestanden worden geopend of gedownload. Dit geldt ook voor beveiligingssoftware die u kunt downloaden van Internet. U zult helaas niet de eerste zijn die denkt een goede beveiliging aan te leggen, maar in werkelijkheid beveiligingssoftware installeert die zelf besmet blijkt te zijn met een virus of een Trojaans paard. Fraude door derden Door fraude kunnen criminelen reisdocumenten en/of rijbewijzen op een valse naam verwerven. Ook kan door fraude diefstal worden gemaskeerd. In de praktijk worden verschillende fraudevormen onderscheiden: Fraude zonder medewerking (misleiding) Hierbij proberen kwaadwillenden een document te verkrijgen op een valse naam door medewerkers te misleiden. Er wordt onderscheid gemaakt tussen aanvraag op oneigenlijke gronden en aanvragers die zich voordoen als een ander (look-alike). Bij een aanvraag op oneigenlijke gronden maakt een (illegale) persoon bij de aanvraag van een nieuw document gebruik van de personalia van een persoon die is ingeschreven in de GBA. Indien deze aanvraag wordt toegekend, wordt een document afgegeven waarvan de foto niet overeenkomt met de personalia in het document. Bij een dergelijke fraudepoging zal de aanvrager (fraudeur) over het algemeen het oude document niet overleggen, maar gebruik maken van een ten onrechte opgemaakt proces-verbaal. Look-alikes presenteren zich meestal bij grenscontroles, inschrijvingen bij uitzendbureaus, aanvragen van sociale uitkeringen en dergelijke. Maar ook op gemeentehuizen proberen look-alikes soms onder overlegging van een document van een ander een nieuw reisdocument te verwerven. De look-alike probeert een nieuw document te verwerven door zich voor te doen als degene van wie hij een correct afgegeven oud document bezit. De aanvrager lijkt sterk op de foto in dit oude document. Het document dat de fraudeur gebruikt, is dikwijls een vermist document dat in het criminele circuit is terechtgekomen of dat door de houder aan de fraudeur ter beschikking is gesteld. Fraude onder druk Informatiebeveiligingsplan GBA Waalwijk
pagina 13 van 84
Hierbij proberen kwaadwillenden een document te verkrijgen op een valse naam door met chantage, bedreiging of omkoping de medewerking van medewerkers af te dwingen. Interne fraude Hierbij plegen medewerkers op eigen initiatief onrechtmatige handelingen of werken zij daaraan mee. 2.3.6 Onbevoegd gebruik door derden Onbevoegd gebruik van computersystemen kan zich in velerlei vormen voordoen, van computerspelletjes tot zelfs privé-administraties toe. Omdat in de gemeentelijke organisatie de hardware decentraal is opgesteld, is onbevoegd gebruik moeilijk te constateren. Het onbevoegd gebruik van de hardware door onbekende individuen of personeel van andere afdelingen moet in eerste instantie door fysieke beveiliging worden voorkomen. In tweede instantie kan gebruik gemaakt worden van beveiligingssoftware. Door aan het informatiesysteem kenbaar te maken welke gebruikers toegang hebben tot het informatiesysteem en welke bevoegdheden deze gebruikers hebben, wordt een drempel gelegd voor potentiële fraudeurs. Het principe van de meeste beveiligingssoftware berust op een autorisatiematrix. Daarin is vastgelegd welke objecten beveiligd moeten zijn tegen welke handelingen van welke gebruikers. De veiligste methode is “niets toestaan tenzij uitdrukkelijk anders is bepaald”. Alle handelingen van de gebruikers kunnen dan worden getoetst op rechtmatigheid. Om toegang te krijgen tot een informatiesysteem moet de gebruiker zich identificeren met een gebruikersidentificatie en een wachtwoord. Deze combinatie - die binnen een systeem uniek is - wordt getoetst aan de autorisatiematrix. Komt deze combinatie niet in de matrix voor, dan krijgt de gebruiker geen toegang tot het systeem. Zijn poging op het informatiesysteem binnen te komen wordt geregistreerd in het logboek en geeft de systeem- en netwerkbeheerder de gelegenheid een passende actie te nemen, bij voorbeeld aan verscherpte controle op het gebruik van het betreffende werkstation of het veranderen van identificatie en wachtwoord. Heeft de geautoriseerde gebruiker eenmaal toegang tot het systeem verkregen, dan zal hij gebruik willen maken van software en data. Het zal duidelijk zijn dat, naast de software, ook de in het systeem opgeslagen data beveiligd moet zijn tegen een onbevoegd gebruik (lezen, wijzigen of afdrukken). Ook dit is in de autorisatiematrix worden opgenomen. Opgemerkt wordt nog dat geen garantie kan worden gegeven voor een sluitende beveiliging. Een goede beveiliging is grotendeels afhankelijk van de discipline van de gebruikers en de controle daarop. Zorgvuldig moet worden omgegaan met het gebruik van de autorisatiegegevens. Het laten slingeren van deze gegevens is te vergelijken met een huis dat wordt afgesloten en waarvan de sleutel naast het deurslot wordt gehangen. 2.3.7 Fraude door personeel De gegevensverwerking bij de gemeente Waalwijk vindt vrijwel geheel plaats via computersystemen. Dit impliceert dat functies die rechtstreeks verband houden met geautomatiseerde gegevensverwerking, zoals die van systeem- en netwerkbeheerder en applicatiebeheerder, steeds meer het karakter krijgen van vertrouwensfuncties. Daar komt nog bij dat systeem- en applicatiebeheer, gezien het specialistische karakter, moeilijk aan toezicht te onderwerpen is, zowel voor wat betreft de technische juistheid van de uitvoering als de rechtmatigheid van de verrichte handelingen. Uit het oogpunt van continuïteit mag het systeembeheer en het applicatiebeheer niet exclusief op worden gedragen aan één persoon. Onverhoopt vertrek van de systeem- en Informatiebeveiligingsplan GBA Waalwijk
pagina 14 van 84
netwerkbeheerder - en daarmee het vertrek van alle knowhow van het betreffende informatiesysteem - kan ernstige continuïteitsproblemen opleveren. Derhalve is het aan te bevelen minimaal één plaatsvervangend systeem- en netwerkbeheerder aan te wijzen en die van tijd tot tijd de systeembeheerstaak te laten vervullen. Hetzelfde geldt uiteraard voor de applicatiebeheerder. De ervaringen hebben aangetoond dat de grootste potentiële dreiging van een informatiesysteem schuilt in het personeel dat daarvan gebruik maakt. Derhalve wordt een nauwkeurige selectie van personeel dat uitvoeringsverantwoordelijkheid gaat dragen voor computersystemen aanbevolen. Daarbij moet vooral worden gelet op eigenschappen als verantwoordelijkheidsgevoel, discipline en integriteit. Hierbij kunnen diplomacontrole en natrekken van de opgegeven referenties een rol spelen. Op (het lokale) intranet staan de gedragscode en de regeling kantoorfaciliteiten van de gemeente Waalwijk. Elke medewerker wordt geacht deze regelingen te kennen. Daarnaast is in voorbereiding dat elke medewerker de eed of belofte aflegt om zich te scharen achter het integriteitbeleid van de gemeente Waalwijk Begeleiding van voornamelijk systeem- en netwerkbeheerderen is een onderwerp dat uit beveiligingsoogpunt aandacht verdient. Het is uitermate gewenst dat de arbeidsomstandigheden van automatiseringspersoneel zodanig zijn dat de continuïteit van het informatiesysteem en het beheer daarvan maximaal is gewaarborgd. Functiescheiding heeft betrekking op maatregelen die misbruik of oneigenlijk gebruik van bevoegdheden moeten voorkomen. Functiescheiding moet het mogelijk maken om (direct of achteraf) te controleren of de betrokken functionarissen hebben gehandeld zoals is voorgeschreven. De nadruk ligt op het voorkómen van fraude door externen of door interne functionarissen, al dan niet onder druk van kwaadwillenden (chantage, bedreiging of omkoping). In de praktijk overtreft het aantal te scheiden taken vrijwel altijd het aantal functionarissen. Van een 1-op-1 functiescheiding zal daarom zelden sprake zijn. Optimale functiescheiding wordt verkregen door het zoveel mogelijk verdelen van de taken over de beschikbare medewerkers.
Informatiebeveiligingsplan GBA Waalwijk
pagina 15 van 84
3 Informatiebeveiligingsbeleid 3.1 Beleidsdoelstellingen Het College van Waalwijk stelt zich ten aanzien van de informatiebeveiliging als doelstelling die beveiligingsmaatregelen te treffen die enerzijds uit de wettelijke verplichtingen voortvloeien en anderzijds de continuïteit van de gemeentelijke bedrijfsprocessen zoveel mogelijk garanderen. Deze doelstellingen gelden ten aanzien van alle gegevensverwerkende processen waarvoor het College de uiteindelijke verantwoordelijkheid draagt.
3.2 Wettelijke verplichtingen Ten aanzien van de beveiliging van persoonsgegevens geldt artikel 13 van de Wet bescherming persoonsgegevens (WBP) als grondslag voor het informatiebeveiligingsbeleid. De tekst van dit artikel luidt: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het College Bescherming Persoonsgegevens (CBP) kan de verantwoordelijke, in casu het College, aanspreken op het niveau van de maatregelen voor de beveiliging van de verwerking van persoonsgegevens en de wijze waarop het stelsel van maatregelen is geïmplementeerd en wordt nageleefd. Naast de WBP kent de Wet GBA een aantal voorschriften ten aanzien van de beveiliging van de persoonsgegevens. Deze zijn voornamelijk terug te vinden in het Logisch Ontwerp GBA (hoofdstuk 7, Eisen ten aanzien van het beheer). Het agentschap BPR stelt eisen ten aanzien van het beheer van persoonsgegevens in en rondom de GBA, die in een driejaarlijkse cyclus door een onafhankelijke auditinstelling worden getoetst. Daarbij worden een aantal verplichte maatregelen beoordeeld op het bestaan, de opzet en de werking ervan in de praktijk. 3.2.1 Fysieke beveiliging Volgens de Inleiding EDP-auditing1 moet het beveiligingsbeleid ten aanzien van de fysieke beveiliging in ieder geval de volgende onderdelen bevatten: 1. Doel van de beveiliging uitgaande van de bestaande organisatie voor de nabije toekomst. 2. Objecten welke beveiligd zouden moeten worden. 3. Richtlijnen voor de wijze waarop beveiliging van de relevante objecten kan worden gerealiseerd. Ad 1) In de doelstelling moet worden aangegeven op welke termijn het beleid moet zijn uitgevoerd en tegen welke bedreigingen beveiliging noodzakelijk is. In dit deel van het Informatiebeveiligingsplan GBA is zowel aangegeven tegen welke bedreigingen er beveiligd moet worden. In het tweede deel is per risicogroep 1
Zie Jan van Praat & Hans Suerink, Inleiding EDP-auditing, Kluwer Bedrijfsinformatie Deventer, januari 2001, ISBN 90 440 0199 X.
Informatiebeveiligingsplan GBA Waalwijk
pagina 16 van 84
concreet aangegeven welke beveiligingsmaatregelen wanneer zouden moeten worden aangegeven. Ad
2) Waar gegevens bij uitstek het beveiligingsobject zijn van het informatiebeveiligingsbeleid, zijn het gebouw, het personeel en de werkplek de beveiligingsobjecten van het fysieke beveiligingsbeleid. De te beveiligen objecten staan uitputtend opgesomd in het voorliggende algemeen deel van het Informatiebeveiligingsplan GBA.
Ad 3) De richtlijnen voor het fysiek beveiligen van de objecten zijn door de gemeente Waalwijk beschreven in het calamiteitenplan. 3.2.2 Informatiebeveiliging Informatiebeveiligingsbeleid is volgens de Code voor Informatiebeveiliging 2 het op schrift gesteld en door het gemeentebestuur en management goedgekeurd beveiligingsbeleid met betrekking tot de informatievoorziening met hierin een formulering van de volgende elementen: 1. Een definitie van de term "informatiebeveiliging". 2. Een beschrijving van de belangrijkheid van informatiebeveiliging t.a.v. het primaire proces. 3. Een verklaring omtrent de betrokkenheid van het management m.b.t. informatiebeveiliging. 4. Een beschrijving van de algemene en specifieke verantwoordelijkheden voor alle aspecten van informatiebeveiliging binnen de organisatie. 5. Een bepaling omtrent de frequentie, waarmee dit document opnieuw beoordeeld moet worden. 6. Uitspraken omtrent confirmatie aan de door de wetgever gestelde eisen. Ad 1) Onder informatiebeveiliging wordt in dit kader verstaan een samenhangend geheel van maatregelen dat de beschikbaarheid, exclusiviteit en integriteit van de gegevens garandeert. Als beleidsdoelstelling wordt de eis neergelegd dat de informatiesystemen aangeduid in voorliggend plan een beschikbaarheid tijdens werktijd kennen van minimaal 95%. Buiten werktijd worden er geen eisen gesteld aan de beschikbaarheid met uitzondering van voorzieningen in het kader van rampenbestrijding. Ad 2) De gemeentelijke bedrijfsvoering komt onmiddellijk in problemen wanneer er inbreuken worden gedaan op de informatiebeveiliging. Dat betekent dat het primaire proces slechts mogelijk is wanneer het niveau van informatiebeveiliging op een voldoende hoog niveau wordt gelegd. Bedreigingen kunnen we nimmer wegnemen. De kans op het manifest worden kan echter kleiner worden gemaakt door het treffen van preventieve maatregelen. De (gevolg)schade die wordt geleden kan worden beperkt door repressieve- en herstelmaatregelen. Ad 3) Zie het vervolg van dit hoofdstuk voor een verklaring omtrent de betrokkenheid van het gemeentebestuur met betrekking tot informatiebeveiliging. Ad 4) Zie het vervolg van dit hoofdstuk voor verantwoordelijkheden zoals het management die ziet.
uitspraken
omtrent
de
Ad 5) Dit document wordt jaarlijks op relevantie en actualiteit geëvalueerd en beoordeeld door het hoofd Publiekszaken en bij noodzaak daartoe bijgesteld. Alle medewerkers van de gemeente worden via de gebruikelijke interne kanalen en
2
Zie de Code voor Informatiebeveiliging 2000, Een leidraad voor beleid en implementatie, Nederlands Normalisatie Instituut te Delft 2000, ICS 35.020, SPE norm 20003. Informatiebeveiligingsplan GBA Waalwijk
pagina 17 van 84
voorzover noodzakelijk door hun afdelingshoofd via het reguliere werkoverleg geïnformeerd over hun aangaande wijzigingen in beveiligingsbeleid, -plan, maatregelen en/of –procedures. Alle wijzigingen die direct betrekking hebben op individuele taken en bevoegdheden worden expliciet door het afdelingshoofd met zijn of haar betrokken medewerker(s) rechtstreeks gecommuniceerd. Ad 6) De gemeente Waalwijk zich zal houden aan de bepalingen van de in het kader van informatiebeveiliging relevante wet- en regelgeving zoals het Wetboek van Strafrecht, het Wetboek van Strafvordering (computercriminaliteit) alsmede de Wet bescherming persoonsgegevens en de Wet gemeentelijke basisadministratie persoonsgegevens. Beveiliging is geen doel op zich maar een middel. De kosten moeten opwegen tegen de baten. De baten zijn echter moeilijk meetbaar. Het beveiligingsbeleid zal nauw moeten aansluiten op de cultuur van de gemeentelijke organisatie, de eigen bedrijfsprocessen en de binnen de organisatie gehanteerde terminologie. Dit alles zal de acceptatie van het beveiligingsbeleid sterk verhogen. 3.2.3 Raakvlakken met ander beleid Het informatiebeveiligingsbeleid heeft raakvlakken met het beleid en de daaruit voortvloeiende procedures die zijn gericht op de operationele veiligheid van het uitgifteen beheersproces reisdocumenten en rijbewijzen. Informatiebeveiligingsbeleid maakt deel uit van het totale beveiligingsbeleid van de gemeente. Binnen dit beleidsterrein kan er onderscheid worden gemaakt tussen fysieke toegangsbeveiliging, identificatie van gebruikers (logische toegangsbeveiliging), sleutelbeleid, personeelsbeleid en een clean desk policy.
3.3 Taken, verantwoordelijkheden en bevoegdheden De verantwoordelijkheid voor het Informatiebeveiligingsplan GBA ligt te allen tijde bij de verantwoordelijke zijnde het college en namens deze het hoofd Publiekszaken. Het hoofd Publiekszaken ziet toe op de uitvoering ervan door de medewerkers van de afdeling Publiekszaken. Het hoofd Publiekszaken is verantwoordelijk voor de controle van het Informatiebeveiligingsplan GBA en ziet erop toe dat eens per jaar gecontroleerd wordt of de nog te nemen maatregelen gerealiseerd zijn en dat het Informatiebeveiligingsplan GBA hierop aangepast wordt. Voor alle in dit hoofdstuk voorkomende functies is in de Beheerregeling GBA de vervanging vastgelegd. 3.3.1 Verantwoordelijkheden gemeentebestuur Beveiliging is op bestuurlijk niveau de verantwoordelijkheid van het College van de gemeente Waalwijk. Het college stelt dit Informatiebeveiligingsplan GBA vast. Het college onderschrijft volledig de beveiligingsmaatregelen die in dit Informatiebeveiligingsplan GBA worden voorgeschreven en wenst dat de stand van zaken met betrekking tot de informatiebeveiliging jaarlijks wordt geëvalueerd om er voor zorg te dragen dat de informatiebeveiliging in de gemeente up-to-date blijft. 3.3.2 Verantwoordelijkheden van het directieteam Beveiliging is op ambtelijk niveau de verantwoordelijkheid van alle leden van het directieteam van de gemeente Waalwijk. Alle leden van het directieteam getuigen hiervan in hun dagelijkse doen en laten en geven onverkort blijk van voorbeeldgedrag op dit aspect. Informatiebeveiligingsplan GBA Waalwijk
pagina 18 van 84
Het directieteam bepaalt binnen de gegeven bestuurlijke kaders de koers van het ambtelijk apparaat. Per jaar zullen de volgende punten met betrekking tot beveiliging aan de orde komen:
Voortgang realisatie beveiligingsmaatregelen als beschreven in het Informatiebeveiligingsplan GBA en gerapporteerd door het hoofd Publiekszaken. Mogelijke ontwikkelingen die de bedrijfsinformatie bedreigen. Bespreking van en toezicht op beveiligingsincidenten zoals gerapporteerd door het hoofd Publiekszaken. Goedkeuring van initiatieven om de (informatie)beveiliging te verbeteren. Geven van voor eenieder zichtbare ondersteuning bij de implementatie van beveiligingsmaatregelen. Bevorderen van het beveiligingsbewustzijn. Herziening en goedkeuring beveiligingsbeleid en de toegekende verantwoordelijkheden.
Eens per jaar wordt door de beveiligingsfunctionaris een audit uitgevoerd op de GBAvereisten. Deze beveiligingsfunctionaris rapporteert minimaal een keer per jaar rechtstreeks aan het College van Burgemeester en Wethouders. Deze rapportage wordt voor 1 november van het jaar aan het college aangeboden. De beveiligingsfunctionaris is bevoegd om medewerkers van de afdeling Publiekszaken aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de wet en de beveiligingsvoorschriften voor de GBA. De beveiligingsfunctionaris kan directie, management en de medewerkers gevraagd en ongevraagd aanwijzingen geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de wet en de beveiligingsvoorschriften voor de GBA. Zie verder hoofdstuk 8 van de Beheerregeling GBA.
3.3.4 Verantwoordelijkheden van het hoofd Publiekszaken Het hoofd Publiekszaken is manager van het desbetreffende organisatieonderdeel en bepaalt in de gemeentelijke organisatie in het kader van beveiliging het volgende:
Het beleid en de keuze rondom de bedrijfsproces ondersteunende applicatie(s). Wie de taken applicatiebeheer en gegevensverwerking uitvoert. Het niveau van autorisatie voor de eindgebruikers voor de applicatie(s). Het aan de medewerkers verlenen van het recht om hun ervaringen rondom aspecten van beveiliging aan de orde te stellen. Het onderwerp informatiebeveiliging tenminste eenmaal per jaar te agenderen op het reguliere werkoverleg. Het verplichten van medewerkers tot het direct melden van onregelmatigheden met betrekking tot de beveiliging. Het aanspreken van medewerkers op geconstateerd onzorgvuldig gedrag in relatie tot beveiliging en het zonodig voorstellen van disciplinaire maatregelen. Het alle medewerkers van de afdeling Publiekszaken in de gelegenheid stellen om aan relevante trainingscursussen deel te nemen, welke door deskundigen wordt verzorgd, een en ander tot bevordering van de beveiligingsbewustwording. Het bevorderen en in de gelegenheid stellen tot het volgen van cursussen, trainingen en opleidingen van medewerkers die verantwoording dragen voor de beveiliging.
Het hoofd Publiekszaken kan de uitvoering van hiervoor genoemde taken geheel of gedeeltelijk delegeren aan de kwaliteitsmedewerker of de senior medewerker van de afdeling Publiekszaken.
Informatiebeveiligingsplan GBA Waalwijk
pagina 19 van 84
3.3.5 Verantwoordelijkheden van de informatiebeheerder GBA Het hoofd Publiekszaken is aangewezen als informatiebeheerder annex privacybeheerder van het GBA-systeem. Deze zorgt vervolgens voor het toewijzen van taken en verantwoordelijkheden om de hiervoor genoemde exclusiviteit te waarborgen en te controleren. 3.3.6 Verantwoordelijkheden van de applicatiebeheerder GBA De applicatiebeheerder GBA heeft de volgende taken:
Verstrekt adviezen aan het hoofd Publiekszaken over het te voeren beleid met betrekking tot de desbetreffende applicatie(s). Draagt zorg voor de continuïteit en kwaliteit van de desbetreffende applicatie(s). Treedt op als intermediair tussen gebruikers, management en automatiserings- en informatiedeskundigen met betrekking tot de desbetreffende applicatie(s). Signaleert de behoefte aan uitbreiding van apparatuur en overlegt dit met zowel het hoofd Publiekszaken als met de senior systeem- en netwerkbeheerder. Is betrokken ingeval van daadwerkelijk uitwijk m.b.t. de desbetreffende applicatie(s). Signaleert het onjuist omgaan met de desbetreffende applicatie(s) en meldt dit aan het hoofd Publiekszaken zodat deze maatregelen kan nemen om dit te voorkomen. Draagt zorg voor de tijdige en kwalitatief goede verwerking van gegevens met behulp van de desbetreffende applicatie(s). Draagt zorg voor de tijdige en kwalitatief goede oplevering van informatie uit de desbetreffende applicatie(s). Verzorgt in samenwerking met de afdeling HII. de acceptatie van nieuwe releases van de desbetreffende applicatie(s). Bewaakt een juiste toepassing van de gebruikersprocedures. Verzorgt of is betrokken bij de training en begeleiding van de medewerkers op het gebied van de desbetreffende applicatie(s). Beheert en onderhoudt de bij de desbetreffende applicatie(s) behorende documentatie.
3.4
Passende technische en organisatorische maatregelen
Welk niveau van technische en organisatorische maatregelen passend is wordt bepaald door de risicoklasse, waarin de persoonsgegevens worden ingedeeld. De in de GBA vastgelegde persoonsgegevens zijn op grond van de door het College Bescherming Persoonsgegevens (CBP) gehanteerde classificatie ingedeeld in risicoklasse II (verhoogd risico), d.w.z. er bestaan in vergelijking met het basisniveau van risicoklasse I extra negatieve gevolgen voor de betrokkene bij verlies, onbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens. De indeling in deze risicoklasse komt voort uit de aard van de gegevensverwerking in de GBA: de gegevens die worden verwerkt hebben betrekking op de gehele bevolking van de gemeente Waalwijk. Een passend beveiligingsniveau Een adequaat niveau van beveiliging van persoonsgegevens kan worden bereikt door het treffen van een stelsel van technische en organisatorische maatregelen, waarvan het niveau aansluit bij de risico’s welke verbonden zijn aan de gedefinieerde risicoklasse. De
te nemen maatregelen worden gewogen aan de hand van de volgende criteria: Stand van de techniek. Kosten. Risico’s zowel van de verwerking, als ook van de aard en de omvang van de persoonsgegevens.
Informatiebeveiligingsplan GBA Waalwijk
pagina 20 van 84
3.4.1 Kwaliteitsaspecten Informatiebeveiligingsbeleid is niets anders dan een verzameling van strategische uitgangspunten waarin de bestuurlijke en ambtelijke top eendrachtig duidelijk maken aan het tactisch en operationeel niveau welke gedragslijn de gemeente Waalwijk dient te volgen om te komen tot een adequate informatiebeveiliging. Het beleid vormt daarmee de basis voor de hieronder uitgewerkte normen en maatregelen. Het maken en vaststellen van beveiligingsbeleid is nog geen garantie voor de goede werking. Hiervoor is het nodig dat de uitgangspunten in een informatiebeveiligingsbeleid concreet worden geformuleerd. Door middel van controles op de uitvoering dient het management vast te stellen of de maatregelen werken. Evaluatie van het beleid dient vervolgens plaats te vinden om na te gaan of het beleid nog steeds aansluit op de organisatie en of de juiste maatregelen zijn getroffen. De beveiliging van persoonsgegevens kent vier kwaliteitsaspecten, namelijk: 1e: beschikbaarheid De persoonsgegevens en de daarvan afgeleide informatie moeten zonder belemmeringen beschikbaar zijn overeenkomstig de daarvoor gemaakte afspraken en de wettelijke voorschriften. Beschikbaarheid wordt gedefinieerd als de ongestoorde voortgang van een gegevensverwerking. 2e: integriteit
De persoonsgegevens moeten in overeenstemming zijn met het afgebeelde deel van de werkelijkheid en niets mag ten onrechte worden achtergehouden of zijn verdwenen.
3e: vertrouwelijkheid Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van persoonsgegevens. 4e: controleerbaarheid Een vierde aspect dat hierbij een rol speelt is controllability. Een regelmatige controle op uitvoering van de beheersmaatregelen is noodzakelijk om vast te stellen of deze goed werken. Daarom is controleerbaarheid (auditability, assurance, audit trail) van groot belang. Controleerbaarheid is de mogelijkheid om (achteraf) vast te stellen hoe de informatievoorziening en haar componenten is gestructureerd. De gemeente Waalwijk hanteert voor bovengenoemde kwaliteitsaspecten de volgende normen: 3.4.1.1 Norm voor beschikbaarheid Het college van B&W en het directieteam (DT) zijn van mening dat de bedrijfsvoering geheel stil komt te liggen als de informatievoorziening voor wat betreft een aantal kritische applicaties wordt gestaakt. Een van deze kritische applicaties is de GBA applicatie. De informatievoorziening rondom de Pink-applicatie moet tijdens de openingstijden van de publieksbalie, op jaarbasis gemiddeld voor 98% beschikbaar zijn. De openingstijden (voor het publiek) zijn: Maandag, woensdag en vrijdag van 09.00 uur – 17.00 uur, dinsdag en donderdag van 09.00 uur – 13.00 uur en van 18.00 uur – 20.00 uur.
Informatiebeveiligingsplan GBA Waalwijk
pagina 21 van 84
Daarnaast dient de informatievoorziening rondom de Pink-applicatie op jaarbasis voor 95% beschikbaar te zijn overeenkomstig de Werktijdenregeling Gemeente Waalwijk van 13 juli 2010. De standaard bedrijfstijd in de Werktijdenregeling is gelegen van Maandag tot en met vrijdag tussen 07.30 uur en 18.30 uur. Een uitval mag echter nooit langer duren dan 48 uur. Er dienen voldoende adequate voorzieningen te zijn getroffen om zelfs in geval van calamiteiten na maximaal 48 uur de dienstverlening aan de burger en andere bestuursorganen (waaronder de landelijke afnemers en andere gemeenten die zijn aangesloten op het landelijk GBA-netwerk) te kunnen voortzetten. 3.4.1.2 Norm voor integriteit Het is niet te voorkomen dat gegevens fouten bevatten. Een foutloos bestand met GBAgegevens is een nobel streven, maar is niet realistisch als concrete eis. Ook binnen de periodieke GBA-audit wordt een foutenmarge geaccepteerd. Als kwaliteitsnorm bij het bepalen van de kwaliteit van de GBA-gegevens wordt door de gemeente Waalwijk een foutenpercentage geaccepteerd dat overeenkomt met de normstelling die bij de GBA wordt gehanteerd; te weten de gegevensklassen A, B en C met een foutenpercentage van respectievelijk 1, 5 en 10%. 3.4.1.3 Norm voor vertrouwelijkheid Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van in de GBA-registratie opgenomen gegevens. De bevoegdheid van een persoon moet worden afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon, dit ter beoordeling van de informatiebeheerder, op aangeven van de direct leidinggevende van de betreffende medewerker. Alle meldingen van verwerkingen van persoonsgegevens die in de zin van de Wet GBA en de Wet Bescherming Persoonsgegevens verplicht zijn, zijn door de gemeente gedaan aan het College Bescherming Persoonsgegevens. 3.4.1.4 Norm voor controleerbaarheid Mutaties in persoonsgegevens kunnen verstrekkende gevolgen hebben die ver buiten het domein van de gemeente Waalwijk uitgaan. Rechtstreeks toelating tot Nederland is afhankelijk van de nationaliteit. Hoogte en duur van uitkeringen zijn rechtstreeks afhankelijk van leeftijd en burgerlijke staat. De gemeente Waalwijk kent dan ook als norm dat 99% van alle mutaties in persoonsgegevens herleidbaar moet zijn tot een individuele medewerker die hiervoor verantwoordelijk is en dat zulks geldt voor 90% van alle raadplegingen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 22 van 84
4 Risico analyse 4.1 Inleiding Het optreden van een gebeurtenis welke, bij het ontbreken van passende maatregelen, duidelijk waarneembare gevolgen (materieel dan wel immaterieel) voor de organisatie heeft, noemen we een calamiteit. Het benoemen van deze calamiteiten is niet altijd mogelijk. In veel gevallen is het definiëren van specifieke calamiteiten welke een gemeente zouden kunnen treffen zelfs een barrière; het heeft het gevaar in zich dat de continuïteitsvoorziening te beperkt opgezet wordt. Hoewel voor elke organisatie verschillend, is het toch mogelijk een aantal gevolgen van een calamiteit te noemen: Vitale informatie gaat verloren. Financiële controle is niet meer mogelijk. Informatie is niet meer beschikbaar. Goederen en diensten kunnen niet geleverd worden. Medewerkers. Chaos. Fraude.
4.2 Het hoe en waarom van een risico analyse Voordat de uitgangspunten bepaald worden, wordt een risico analyse inclusief een gevolgschade onderzoek uitgevoerd om de risico’s voor de bedrijfsprocessen te analyseren. Later kunnen dan voor de kritieke bedrijfsprocessen de juiste risico’s weggenomen of tot een acceptabel niveau worden beperkt. Wordt deze analyse overgeslagen dan worden maatregelen gekozen welke wellicht het beoogde doel niet waarborgen. Een risico analyse kan op een aantal manieren plaatsvinden; een veel gebruikte manier is de kwantitatieve methode waarbij de risico’s voor het manifest van alle onderkende bedreigingen, het optreden van een calamiteit dus, voor de organisatie bepaald worden. Bij een gevolgschade onderzoek (die aan de hand van de risico analyse uitgevoerd kan worden) wordt de materiële en wellicht ook de immateriële schade die optreedt bij het manifest van een calamiteit per gebeurtenis gekwantificeerd en daarna gesommeerd. De totale schadeverwachting per jaar geeft het management gereedschap in handen om de kosten van voorzieningen te relateren aan de te vermijden risico’s. In de laatste jaren komt de kwalitatieve methode meer in zwang. Hierbij worden risico’s niet meer in cijfers achter de komma bepaald maar worden klassen samengesteld en kan het management vervolgens keuzen maken welke risico’s men wil kunnen overleven. Deze methode levert meer ‘tastbare’ handvatten. Het management ziet hierdoor in een oogopslag welke processen de hoogste prioriteit dienen te krijgen. De kwalitatieve methode wordt in het voorliggend Informatiebeveiligingsplan GBA toegepast.
Informatiebeveiligingsplan GBA Waalwijk
pagina 23 van 84
4.3 Waarschijnlijkheid en effect Om de beveiliging verder te verbeteren, moet een risico analyse worden uitgevoerd. In het vorige hoofdstuk is al geconstateerd dat er de volgende bedreigingen zijn voor de informatiebeveiliging van het GBA. Er wordt een zevental risicogroepen onderscheiden bij het GBA: 1. 2. 3. 4. 5. 6. 7.
Bliksem, brand en explosie. Stof, vuil en water. Stroomuitval, storingen en fouten. Diefstal, sabotage, virussen en fraude door derden. Onbevoegd gebruik. Continuïteit. Personeel.
Niet al deze risico's zijn even groot. Om toch een inschatting te maken van de ernst van de risico's worden twee factoren ingevoerd waarmee de risico's ten opzichte van elkaar kunnen worden gewogen: waarschijnlijkheid en effect. Waarschijnlijkheid Het begrip waarschijnlijkheid heeft betrekking op de kans dat een incident zich zal voordoen. Deze inschatting is moeilijk te maken. Niet alles over wat zich aan ongewenste incidenten voordoet, is bekend. In de risico analyse is expertkennis gekoppeld aan gesprekken met betrokkenen van de gemeente Waalwijk. De bevindingen hiervan hebben geleid tot vooral de beveiligingsmaatregelen zoals opgesomd in paragraaf 4.5 van dit Informatiebeveiligingsplan GBA. Effect De schade van genoemde incidenten kan aanzienlijk zijn. Niet alleen omdat waardevolle documenten of informatie verloren kunnen c.q. kan gaan, maar ook omdat de gevolgen voor medewerkers groot kunnen zijn. Ook kan het incident nadelige gevolgen hebben voor het beeld van de gemeente, en van de afdeling Publiekszaken in het bijzonder, bij het publiek.
Informatiebeveiligingsplan GBA Waalwijk
pagina 24 van 84
4.4 Prioriteitstelling De risico's zijn in de risicoanalyse ten opzichte van elkaar gewogen op de aspecten "waarschijnlijkheid" en "effect". De combinatie van "waarschijnlijkheid" en "effect" leidt tot een zogenoemde prioriteitstelling: een volgorde van de risico's waar men zich tegen moet wapenen. WAARSCHIJNLIJKHEID
EFFECT
Vier niveaus van waarschijnlijkheid
Vier niveaus van gevolgschade
1. ONBEDUIDEND
1. ONBEDUIDEND
geen geregistreerde of aantoonbare incidenten; geen recente incidenten.
2. LAAG
zeer weinig geregistreerde incidenten; wel vermoeden maar geen aantoonbare incidenten.
3. GEMIDDELD
regelmatig geregistreerde incidenten of een zichtbare trend; sterke aanwijzing uit meerdere bronnen.
4. HOOG
aantal incidenten wijst op een kritieke situatie of een campagne tegen de gemeente; grote waarschijnlijkheid van toekomstige incidenten gebaseerd op geïdentificeerde factoren.
geen meetbaar effect; te verwaarlozen invloed op imago bij het publiek.
2. GERING
er zijn aantoonbare kosten op lokaal niveau, niet op centraal niveau; implicatie voor imago bij het publiek op lokaal niveau.
3. BEDUIDEND
kan een merkbaar gevolg hebben op de bedrijfsvoering; serieuze schade aan het imago bij het publiek met aanmerkelijke kosten voor herstel.
4. KRITIEK
ernstige ontwrichting van de bedrijfsvoering; bedrijfsvoering op lange termijn wordt aangetast; ernstige aantasting van het imago van de gemeente bij het publiek met hoge kosten en grote inspanning voor herstel.
Figuur 1 Verduidelijk prioriteitsstelling
Informatiebeveiligingsplan GBA Waalwijk
pagina 25 van 84
Met de eerder genoemde sleutelfunctionarissen is een afweging gemaakt van de kans op het optreden van deze bedreigingen en het effect van de bedreiging op de continuïteit van de gegevensverwerking. Het product van de kans op het optreden van de bedreiging maal het effect op de continuïteit van de gegevensverwerking heeft geleid tot een prioriteitsstelling in de genoemde risico’s. Het resultaat hiervan is zichtbaar gemaakt in de volgende tabel. Risico
Waarschijnlijkheid
Effect
Risicogroep
Prioriteit *)
Brand
1
2
1
2
Explosie
1
3
1
3
Bliksem
1
3
1
3
Stof, vuil en water
1
2
2
2
Klimaat beheersing
1
2
2
2
Stroomstoring
2
4
3
8
Hardware storingen
2
3
3
6
Software storingen
2
2
3
4
Lekkage
1
1
3
1
Inbraak
1
3
4
3
Diefstal
1
2
4
2
Sabotage
2
1
4
2
Fraude
2
3
4
6
Virussen
3
2
4
6
Overval
1
2
4
2
Hacking
1
2
4
2
Afpersing
1
1
4
1
3
2
Back-up voorzieningen
2
3
6
6
Continuïteitsvoorzieningen
3
2
6
6
Agressie
1
4
7
4
Kwalitatieve onderbezetting
1
2
7
2
Kwantitatieve onderbezetting
2
1
7
2
Attitude personeel
1
1
7
1
Ongeautoriseerd systeem
gebruik
5 6
*) prioriteit 12 tot 16 = hoogste prioriteit (waarschijnlijkheid x effect) Figuur 2 Risico en prioriteitsstelling Toelichting op deze bevindingen: Alle risico’s zijn met een lage score uit de risicoanalyse gekomen. Op grond van deze uitkomst is het niet noodzakelijk om naast de aanbevolen maatregelen in de matrix (zie hieronder) extra aanbevelingen te doen. Vervolgens is geïnventariseerd welke maatregelen aanwezig waren op het moment van de inventarisatie en welke maatregelen in de toekomst nog genomen moeten worden om de bestaande risico’s op een adequate wijze af te dekken. Uiteraard moeten de nog te nemen maatregelen met de hoogste prioriteit als eerste worden geïmplementeerd, waarvan de voortgang jaarlijks moet worden beoordeeld en schriftelijk gerapporteerd aan verantwoordelijk management.
Informatiebeveiligingsplan GBA Waalwijk
pagina 26 van 84
4.5 Genomen en te nemen maatregelen Dit overzicht is laatst bijgewerkt op: 11-06-2013 Risicogroep
Al Actiegenomen? nemer
Aanbevolen Maatregelen
1. Bliksem, brand- en explosiegevaar Het gemeentehuis is voorzien van een bliksemafleider Ja welke periodiek wordt gecontroleerd. Brandmelders in gangen en openbare ruimten met Ja automatische doormelding via telefoon. Er is een ontruimingsinstallatie type C aanwezig; rookmelders, aangesloten op een alarmsysteem met slow-whoop (claxon.
Facilitaire zaken Facilitaire zaken
Integraal rookverbod in gemeentehuis, derhalve ook in Ja computerruimte.
Facilitaire zaken
Waterdetector in de computerruimte.
Ja
Computerruimte voorzien van noodverlichting.
Ja
Facilitaire zaken Facilitaire zaken
Computerruimte voorzien van één of meer draagbare Ja brandblusapparaten (aan de buitenkant).
Facilitaire zaken
Voldoende brandblussers en/of brandslangen aanwezig op Ja strategische plaatsen in het gemeentehuis.
Facilitaire zaken
Een goed met de medewerkers gecommuniceerde Ja regeling van alarmopvolging bij brand of andere calamiteit.
Facilitaire zaken
Jaarlijkse ontruimingsoefening van het gemeentehuis Ja (welke niet vooraf is aangekondigd bij de medewerkers).
Facilitaire zaken
Goed geaarde antistatische computerruimte.
de Ja
Facilitaire zaken
Ja
Facilitaire zaken
Computerruimte is een apart brandcompartiment (o.a. Ja een afsluitbare massieve brandvertragende deur en separatiewanden met een brandvertraging van minimaal 1 uur).
Facilitaire zaken
vloer(bedekking)
Zo weinig mogelijk papier in de computerruimte.
Informatiebeveiligingsplan GBA Waalwijk
in
Evt. toelichting/opmerking
pagina 27 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Overspanningbeveiligers geïnstalleerd in de Ja computerruimte om fluctuaties in de stroomspanning van het openbare elektriciteitsnet tegen te gaan. Geen opslag van gevaarlijke stoffen in alle kritische Ja ruimten. Aanwezigheid van detectiemiddelen en schadebeperkende Ja voorzieningen (rookmelders) in en rondom alle kritische ruimten. Ja Aanwezigheid van detectiemiddelen en schadebeperkende voorzieningen (bewegingsmelders) in en rondom alle kritische ruimten. 2. Stof, vuil en water De apparatuur wordt op een zodanige wijze geplaatst en beveiligd dat de risico's van schade, storing en gebruik door stof, vuil en water minimaal zijn. Dit wordt bereikt door:
aandacht voor specifieke risico's, waaronder water, stof, trillingen, chemische reactie, interferentie met de elektriciteitsvoorziening en elektromagnetische straling;
verbod tot gebruik van etenswaren in kritische ruimten (o.a. computerruimte en patchkast);
iedere medewerker is verantwoordelijk voor het zoveel mogelijk stofvrij houden van zijn of haar eigen werkplek;
weer zoveel mogelijk stofbronnen, zoals kartonnen dozen en bloembakken in de nabijheid van computerapparatuur;
maatregelen voor de klimaatbeheersing van ruimten waarin zich computers bevinden. Sommige computerapparatuur kan alleen naar behoren functioneren onder specifieke omstandigheden (temperatuur, luchtvochtigheid en stroomvoorziening).
Facilitaire zaken Facilitaire zaken Facilitaire zaken Facilitaire zaken
Facilitaire zaken/ICTIC T
Ja
Ja
Ja
Ja
Ja
Dagelijks schoonmaken van de werkplekken door een Ja schoonmaakbedrijf. Contractuele afspraken met schoonmaakbedrijf ten Ja Informatiebeveiligingsplan GBA Waalwijk
Evt. toelichting/opmerking
Facilitaire zaken Facilitaire pagina 28 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
aanzien van geheimhouding. De computerruimte wordt schoongehouden door eigen Ja personeel. 3. Stroomuitval, storingen en fouten Maken en naleven van een formele Ja goedkeuringsprocedure voor de installatie van (nieuwe versies) van software en hardware. De goedkeuring van de installatie van IT-voorzieningen omvat twee onderdelen. Een zakelijke en een technische goedkeuring: 1. 2.
Evt. toelichting/opmerking
zaken Facilitaire zaken ICTICT
Dit is opgenomen in het handboek ‘Systeembeheer’ en het document ‘wijzigingsbeheer’. De werkwijze is volgens Itil processen
ICTICT
Een standaardprogramma van eisen wordt bij aanschaf gehanteerd
Bij de zakelijke goedkeuring wordt getoetst of alle relevante beveiligingseisen en -procedures worden nageleefd. bij de technische goedkeuring wordt gecontroleerd of de nieuwe software en/of hardware naar behoren zal functioneren in de bestaande ICT-omgeving.
De nieuwe versies van software worden pas geïmplementeerd nadat de documentatie is aangepast en het programma getest door de applicatiebeheerder of indien besloten is door de applicatiebeheerder af te zien van het testen. Voor de aanschaf van eventuele nieuwe hardware en/of software wordt een pakket van eisen en wensen opgesteld waarbij onder meer aandacht is besteed aan:
Ja
prestatievermogen en capaciteit; voorbereiden van procedures voor foutherstel, herstarten en voor continuïteitsaspecten; voorbereiden en testen van bedieningsprocedures; beïnvloeding door de nieuwe hardware of software van bestaande systemen voor zover vast te stellen; opleiding van medewerkers voor bediening en gebruik hiervan; testen van het systeem aan de hand van de acceptatiecriteria. De applicatiebeheerder controleert bij invoering van de Ja nieuwe applicatiesoftware of de volledige documentatie Informatiebeveiligingsplan GBA Waalwijk
ICTICT pagina 29 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen wordt meegeleverd. Aandacht voor versiebeheer. De senior systeem- en netwerkbeheerder controleert bij invoering van de nieuwe hardware en/of systeemsoftware of de volledige documentatie wordt meegeleverd. Aandacht voor versiebeheer. De senior systeem- en netwerkbeheerder zorgt voor een zo volledige mogelijke storingsregistratie van systeemstoringen zodat sneller een doeltreffende diagnose kan worden gesteld om vervolgens de storing zo snel mogelijk te verhelpen. De systeem- en netwerkbeheerder registreert wanneer onderhoud aan de hardware heeft plaatsgevonden en onderdelen zijn vervangen. De systeem- en netwerkbeheerder legt schriftelijk vast hoe lang het opheffen van de storing heeft geduurd en rapporteert hierover aan de senior systeem- en netwerkbeheerder. Deze gegevens zijn van belang om te controleren of de desbetreffende leverancier zich houdt aan het onderhoudscontract. Voorzieningen getroffen waardoor alle vitale computerapparatuur zoals de AS400-server en de netwerk-server na het optreden van een stroomstoring op een veilige wijze kan worden afgesloten. De hiervoor ingezette interne UPS garandeert de voortgang in de stroomvoorziening voor circa 10 minuten. Voorzieningen getroffen waardoor een piekbelasting van de stroomvoorziening wordt opgevangen en waardoor alle vitale computerapparatuur zoals de AS400-server en de netwerk-server na het optreden van deze piekbelasting onbeschadigd kunnen doordraaien. Hiervoor wordt een interne UPS (Uninterruptable Power Supply) ingezet. Onderhoudscontracten voor de hardware.
Al Actiegenomen? nemer Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Onderhoudscontract afgesloten voor de Gemnet-router Ja met Gemnet BV/ KPN.
ICT
Onderhoudscontract afgesloten voor netwerkservers met Ja
ICT
Onderhoudscontract afgesloten voor de POWER 720 server + LTO met Extravar. De service wordt uitgevoerd door IBM.
Informatiebeveiligingsplan GBA Waalwijk
Evt. toelichting/opmerking
Een geautomatiseerd systeem (Assyst) is geïmplementeerd.
Een geautomatiseerd systeem (Assyst) is geïmplementeerd.
pagina 30 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Evt. toelichting/opmerking
Unica (Eindhoven). Binnen 4 uur wordt respons gegeven op een oproep en binnen 24 uur worden e.v.t. nieuwe servers geleverd en geïmplementeerd. De applicatiebeheerder GBA controleert bij invoering van Ja de nieuwe software of de volledige documentatie wordt meegeleverd. Dit is schriftelijk vastgelegd in een procedure. Een noodaggregaat voorziet een aantal afdelingen, Ja waaronder de telefooncentrale, afdeling ICT en de serverruimte van stroom indien deze wegvalt. Deze is opgeslagen bij de gemeentewerf. Er is een systeem van versiebeheer zowel voor de Ja besturingssoftware als de gebruikte standaardapplicaties ingevoerd. 4. Diefstal, sabotage, virussen en fraude Een actueel overzicht van alle ruimten. Dit overzicht van Ja alle ruimten biedt inzicht in de indeling van de gebouwen en de locatie van de bedrijfsmiddelen. Een dergelijk overzicht vormt een voorwaarde voor adequate fysieke beveiliging van deze ruimten. Geclassificeerd naar beveiligingsniveau van de onder het Ja beheer van de gemeente vallende ruimten. Deze classificatie van ruimten houdt in dat aan iedere ruimte een niveau van beveiliging is toegewezen. Hier worden twee niveaus onderscheiden: kritisch en niet kritisch. Deze classificatie vereenvoudigt het treffen van adequate beveiligingsmaatregelen. Een “kritische ruimte” is een ruimte waarin een kwaadwillige zoveel schade kan aanrichten dat de continuïteit van de gemeente Waalwijk en/of haar klanten kan worden verstoord. Voorbeelden hiervan zijn de computerruimte, de centrale kas, of de ruimte waar waardedocumenten worden bewaard. De volgens de classificatie kritische ruimten van de Ja gemeente zijn op een adequate wijze fysiek beveiligd. Iedere medewerker draagt er voor zorg dat de in zijn of Ja haar bezit zijnde sleutels van gemeentelijke eigendommen niet toegankelijk zijn voor onbevoegden. Elektronische inbraakbeveiliging bij de afdeling Ja Publiekszaken en de opslagplaats van de hoofdvoorraad Informatiebeveiligingsplan GBA Waalwijk
ICT
ICT
ICT
Fac. zaken
Facilitaire zakenICT
Detectiemateriaal aanwezig
Facilitaire zakenICT
ICTFac. pagina 31 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
waardedocumenten.
Zaken
Individuele geautoriseerde toegang tot de werkruimte van Ja de afdeling Burgerzaken door sleutels en elektronische pasjes.
ICTFac. Zaken
Alle baliemedewerkers zijn bekend gemaakt met de Ja overvalinstructie.
ICTPBZ
Overvalknoppen bij de afdeling Publiekszaken.
ICTFac.Zake n
Ja
Voor de risico’s van beschadiging van kabels, van Ja aftappen of verminking van het berichtenverkeer zijn maatregelen getroffen in de vorm van kabelgoten en dergelijke. De apparatuur (o.a. bedrijfskritische servers) worden op een zodanige wijze geplaatst en beveiligd dat de risico's van schade, storing en gebruik door ongeautoriseerde personen minimaal zijn. Dit wordt bereikt door:
plaatsing op een afgezonderde plek;
Ja
plaatsing in een beveiligde ruimte;
Ja
geen plaatsing van bedrijfskritische servers in de nabijheid van ramen.
Nee
Evt. toelichting/opmerking
ICT/Fac. Zaken
ICT
De bedrijfskritische servers staan echter op de derde verdieping.
De ramen worden na werktijd door de medewerkers Ja gesloten.
Fac. zaken
controleert
Gedragregels voor personeel ondermeer voor:
ICT
Er is een integriteitsnota en een regeling kantoorfaciliteiten.
Ja
Omgang PC gebruik Elektronisch toegangssysteem Omgang met sleutels Virusmelding Internetgebruik Internetprotocol Etc. Actieve viruscontrole in de vorm beveiligingssoftware van Ja McAfee en Sophos, zowel op de netwerkserver als op alle gemeentelijke PC’s. Dit pakket wordt continu geactualiseerd. Informatiebeveiligingsplan GBA Waalwijk
ICT
pagina 32 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Schriftelijke richtlijnen i.v.m. de bestrijding van virussen en procedures i.v.m. de afhandeling van virusaanvallen. Dergelijke voorzieningen omvatten:
ICT
een verbod op het gebruik van niet-geautoriseerde programmatuur;
Ja
gebruik van antivirus software op alle gemeentelijke werkstations en servers (m.u.v. het AS/400 systeem);
Ja
regelmatige controle van programmatuur en gegevensbestanden van kritische processen;
viruscontrole van binnenkomend en uitgaande e-mail;
procedures voor de afhandeling van virusaanvallen;
beveiliging van het Internetgebruik door een firewall;
maximum aantal MB te downloaden en maximum schijfruimte per gebruiker.
Evt. toelichting/opmerking
Planning Verplicht
De AS/400 waarop de GBA-applicaties op draaien is niet vatbaar voor virussen. Verder zijn systemen zoals McAfee ePolicy Orchestrator in gebruik, waardoor een geïntegreerd antivirusbeleid voor de servers en werkplekken wordt afgedwongen.
Ja Ja Ja Ja Nee nee
Het voorkomen van diefstal van hardware heeft alle Ja aandacht. Lege CD ROMS, CD Rewritables, , applicatie Cd’s, cartridges, tapes, tonercartrigdes worden opgeslagen in een beveiligde ruimte (afgesloten kast). Bezoekers worden (consequent) begeleid door de Ja ambtenaar die het bezoek ontvangt. 5. Onbevoegd gebruik
ICTFac. Zaken
Richtlijnen en procedures voor logische Ja informatiebeveiliging. Deze omvatten onder andere voorschriften voor het aanvragen, wijzigen en intrekken van autorisaties en voor het registreren en controleren van deze werkzaamheden.
PBZ
Verplicht GBA audit
Registratie en bijhouding van de gebruikers en de aan hen ja individueel verleende bevoegdheden. Hierover periodiek (minimaal 1 keer per jaar) rapporteren aan het hoofd).
PBZ
Verplicht GBA audit
Informatiebeveiligingsplan GBA Waalwijk
pagina 33 van 84
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Evt. toelichting/opmerking
Planning Verplicht
Richtlijnen en procedures voor logische Ja informatiebeveiliging met betrekking tot de GBAapplicatie. Deze omvatten onder andere voorschriften voor het aanvragen, wijzigen en intrekken van autorisaties en voor het registreren en controleren van deze werkzaamheden.
PBZ
Verplicht GBA audit
Registratie en bijhouding van de gebruikers en de aan hen Ja individueel verleende bevoegdheden ten aanzien van de GBA-applicatie. Hierover periodiek (minimaal 1 keer per jaar) rapporteren aan het hoofd.
PBZ
Verplicht GBA audit
Elke medewerker heeft een individueel Ja bevoegdheidsprofiel dat is toegesneden op zijn of haar taak en functie.
PBZ
Verplicht GBA audit
De door de leverancier bij installatie gebruikte Ja gebruikersprofielen worden door de applicatiebeheerder gewijzigd c.q. gedisabled.
ICT / PBZ
Richtlijn dat de door de gemeente aangeschafte software Ja niet illegaal mag worden gekopieerd ten behoeve van andere computersystemen in de gemeente of ten behoeve van derden. Er mag door medewerkers geen software zelf worden Ja geïnstalleerd op gemeentelijke computers en/of laptops.
ICT
Er is een integriteitsnota en een regeling kantoorfaciliteiten.
ICT
Er is een integriteitsnota en een regeling kantoorfaciliteiten
Er wordt uitsluitend met legale software gewerkt. Elke Ja werkplek is (gegarandeerd) voorzien van de juiste licenties.
ICT
Bij de afvoer van apparatuur worden de gegevens en Ja gelicentieerde applicaties op een juiste en volledige wijze verwijderd. Autorisatie voor GBA-gegevens gebeurt via een door het Ja bevoegde gezag vastgestelde procedure binnen de kaders van de privacyverordening en privacyreglement GBA.
ICT
alle gebruikers zijn verplicht tot het gebruik van individueel user-id en wachtwoord. Een “user-id” is een identificatie van een gebruiker. Het wachtwoord dient ter controle van de authenticiteit van de gebruiker;
de gebruikers en de aan hen individuele
Informatiebeveiligingsplan GBA Waalwijk
Dit is geregeld in een schriftelijke procedure.
PBZ / ICT
pagina 34 van 84
Verplicht GBA audit
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Evt. toelichting/opmerking
Planning Verplicht
verleende bevoegdheden worden geregistreerd. Het verlenen, wijzigen en intrekken van bevoegdheden aan de gebruikers dient te geschieden op basis van een formele procedure waarbij deze activiteiten schriftelijk worden vastgelegd;
De gegevensbeheerder/applicatiebeheerder draagt zorg voor registratie en autorisatie van gebruikers van een van de vitale applicaties.
Alle gebruikers zijn verplicht tot het gebruik van een Ja individueel user-id en wachtwoord. Dit geldt zowel voor het AS400 systeem als de netwerkserver. Wachtwoorden zowel op de server en/of PC netwerk en op Ja de GBA applicatie, voldoen aan de eisen zoals gesteld in de Code voor Informatiebeveiliging. Het betreft de volgende eisen:
een geldigheidstermijn van ten hoogste 60 dagen (verplicht);
minimaal een lengte van 6 posities (verplicht);
na 3 ongeldige pogingen worden geblokkeerd (niet verplicht);
nieuwe gebruikers een tijdelijk wachtwoord krijgen toebedeeld met een verplichting tot onmiddellijke wijziging niet verplicht);
worden gewijzigd door de systeem- en netwerkbeheerder bij vermoeden van bekendheid (niet verplicht);
verbod op gebruik van wachtwoorden in automatische aanlogprocedures (niet verplicht);
eventueel beperking van minimum en maximum tijd voor aanloggen niet verplicht).
Alle gebruikers en de aan hen verleende bevoegdheden Ja worden geregistreerd en de gebruikersprofielen van personen die niet meer werken bij de gemeente Waalwijk worden verwijderd. Informatiebeveiligingsplan GBA Waalwijk
PBZ / ICT
.
Verplicht GBA audit
ICT
Verplicht GBA audit
ICT
Verplicht GBA audit
pagina 35 van 84
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Elke gemeentelijke desktop PC of laptop is voorzien van Ja een standaard screensaver welke het scherm automatisch na 15 minuten beveiligt met een individueel wachtwoord. Richtlijnen en procedures voor de uitwisseling van Ja gegevens met derden (afnemers en eventueel leveranciers). Hierin dient aandacht te worden geschonken aan de beveiliging van de uitwisseling van gegevens, de beveiliging van de media tijdens het transport.
ICT
Er zijn maatregelen getroffen ter beveiliging van de Ja elektronische post. Elektronische post loopt via een secure netwerk. Hierin is een beveiliging opgenomen in de vorm van een firewall.
ICT
Een clean desk policy. Elk afdelingshoofd ziet hier op toe voor zijn of haar afdeling. Een clean desk policy omvat het treffen van maatregelen waardoor wordt voorkomen dat fysieke of elektronische documenten toegankelijk zijn voor ongeautoriseerde personen, in het bijzonder buiten normale werktijden.
Gemeentebreed
Ja
Evt. toelichting/opmerking
ICT
Planning Verplicht
Verplicht GBA audit
Hieronder wordt onder andere verstaan:
opslag van documenten en diskettes in afsluitbare kasten;
uitzetten van apparatuur na werktijd;
opruimen van bureaus;
dossierpapier, prints etcetera na gebruik door de papierversnipperaar;
plaatsen van faxapparatuur in niet voor het publiek toegankelijke ruimten;
plaatsen van printapparatuur in niet voor het publiek toegankelijke ruimten.
6. Continuïteit De gegevens op de bedrijfskritische server van de Ja gemeente Waalwijk worden 1 x per werkdag gekopieerd naar een verwijderbare gegevensdrager zoals een backup tape. Informatiebeveiligingsplan GBA Waalwijk
ICT
Verplicht GBA audit
pagina 36 van 84
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Evt. toelichting/opmerking
Planning Verplicht
De dagelijkse back-up wordt opgeslagen in een brandvrije kluis in een beveiligde ruimte op zo groot mogelijke afstand van de computerruimte. De periodieke (wekelijkse) back-up wordt opgeslagen in een beveiligde ruimte buiten het gemeentehuis. Dit gebeurt op het Zwembad Olympia op 2 kilometer afstand van het gemeentehuis. Er is een tweede ICT-locatie waar in geval van calamiteiten naar kan worden uitgeweken. De uitwijk bevat een TCP/IP Gemnet configuratie ten behoeve van het GBA berichtenverkeer en een RAAS configuratie. Actueel (technisch) uitwijkhandboek opgesteld door de uitwijkleverancier. Een uitwijkprocedure opgesteld voor het besluitvormingstraject dat aan de uitwijk voorafgaat en de organisatorische en administratieve afwikkeling daarvan. De uitwijkprocedure en uitwijkvoorziening wordt periodiek (jaarlijks) beproefd teneinde ervan verzekerd te zijn dat de uitwijkprocedure en uitwijkvoorziening in de praktijk ook naar behoren functioneert. Er is een gemeentelijk uitwijkteam geformeerd.
Ja
ICT
Verplicht GBA audit
Ja
ICT
Verplicht GBA audit
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
Ja
ICT
De brondocumenten worden minimaal vijf werkdagen in een afsluitbare kast in een beveiligde ruimte bewaard. Het dagelijkse GBA berichtenverkeer wordt direct na de afhandeling ervan gebackupt. Hierdoor kan de situatie van direct na de afwikkeling van het GBA berichtenverkeer geheel automatisch worden hersteld. Er is een (papieren) Logboek aangelegd t.b.v. back-up procedure. Er zijn zodanige continuïteitsvoorzieningen getroffen, dat is gewaarborgd dat de uitvalduur van de informatievoorziening van de kritische bedrijfsprocessen waaronder de GBA niet langer dan 48 uur bedraagt. Voor wat betreft de kernapplicatie GBA is een herstelprocedure gemaakt, die jaarlijks wordt beproefd door de applicatiebeheerder GBA. Deze procedure bewerkstelligt dat binnen maximaal 24 uur nadat het GBA-systeem weer in de lucht is alle mutaties zijn gereconstrueerd. Hierdoor is de gemeente Waalwijk na maximaal 48 uur zowel technisch als organisatorisch en
Ja
PBZ
Ja
PBZ
Ja
PBZ
Ja
ICT/Fac. zaken
Verplicht GBA audit
PBZ
Verplicht GBA audit
Informatiebeveiligingsplan GBA Waalwijk
Ja
DataCenter Brabant, Haven
Verplicht GBA audit
Verplicht GBA audit Verplicht GBA audit
Verplicht GBA audit
Staat in het IBM Alert plan (is bij ICT.) Verplicht GBA audit Verplicht GBA audit
pagina 37 van 84
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
qua gegevens compleet is. De back-up (van de GBA-gegevens) is gescheduled na het Ja ophalen en verzenden van de GBA-berichten. Dit maakt het uiterst complexe herstel van het GBAberichtenverkeer niet nodig wanneer er een systeem crash bij het GBA-systeem optreedt. Er is een volledige testomgeving om de werkprocedures Ja te kunnen beproeven, nieuwe medewerkers eventueel op te leiden en updates te kunnen testen. De senior systeem- en netwerkbeheerder onderhoudt een Ja overzicht van bedrijfsmiddelen op het gebied van ICT en geeft daarbij aan welke bedrijfsmiddelen kritisch voor de bedrijfsvoering zijn. Tevens zorgt de senior systeem- en netwerkbeheerder voor een regelmatige (d.w.z. eenmaal per half jaar en in ieder geval na elke wijziging) actualisering hiervan. Er is een schriftelijke procedure opgesteld en vastgesteld Ja door het bevoegd gezag voor het herstellen van de gevolgen van verkeerde systematische GBA verstrekkingen. Niet de werking van het GBA-berichtenverkeer op zich, maar wel het aansluiten op het GBA-netwerk wordt in de beproeving van de uitwijk meegenomen. Er is een functionaris aangewezen die verantwoordelijk is voor het beheer van de afgesloten verzekeringen. De verzekeringsbeheerder draagt zorgt voor de verzekering voor de standaard risico's, zoals: brand; diefstal en inbraak; de beperking van de financiële gevolgen van aansprakelijkheid. De verzekeringsbeheerder initieert het afsluiten van een verzekering voor de beperking van bedrijfsvoeringschade na het optreden van een calamiteit. Tenminste eenmaal per jaar wordt een volledige systeem back-up gemaakt. Deze systeemsave wordt altijd voorafgaande en na een wijziging van het besturingssysteem uitgevoerd. De laatste systeem backup wordt op een externe en beveiligde locatie opgeslagen, namelijk in een kluis in op het Zwembad Olympia. Tevens Informatiebeveiligingsplan GBA Waalwijk
Evt. toelichting/opmerking
ICT
Planning Verplicht Verplicht GBA audit
ICT/PBZ
ICT
PBZ
Verplicht GBA audit
Ja
ICT
Ja
Financiën
Ja
Fac. zaken
Ja
ICT
pagina 38 van 84
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
wordt een eerstvolgende weeksave (systeemsave) bewaard bij op Zwembad Olympia. Escrow regeling voor alle kernapplicaties van PinkRoccade Ja via de gebruikersvereniging PinkRoccade. De actuele broncode van de kernapplicaties is gedeponeerd bij een notaris. Zo nodig komen deze ter beschikking van de gebruikers. In contracten met ICT leveranciers wordt aandacht besteed aan de volgende beveiligingsvoorwaarden:
gemeentelijk beleid ten aanzien van informatiebeveiliging;
toegestane toegangsmethodieken en het beheer en gebruik van gebruikersidentificaties en wachtwoorden;
beschrijving van de diensten van de leverancier;
tijdstippen beschikbaarheid leverancier;
wederzijdse verplichtingen;
procedures voor de bescherming van bedrijfsmiddelen;
wettelijke verplichtingen;
recht op toezicht door de gemeente op medewerkers van de leverancier ingeval van (remote) onderhoud;
verantwoordelijkheden met betrekking tot de installatie van apparatuur en programmatuur;
recht op controle door de gemeente van contractuele verantwoordelijkheden van de leverancier;
beperkingen met betrekking tot het kopiëren en openbaar maken van informatie;
vernietiging van informatie en eventueel goederen bij beëindiging van het contract;
procedures inzake naleving beveiligingsmaatregelen;
instructie van gebruikers;
Informatiebeveiligingsplan GBA Waalwijk
Ja
Evt. toelichting/opmerking
ICT
ICT / PBZ
pagina 39 van 84
Planning Verplicht
Risicogroep
Al Actiegenomen? nemer
Aanbevolen Maatregelen
maatregelen ter beperking van de verspreiding van computervirussen;
autorisatieprocedure voor de toegangsrechten van gebruikers.
Telefooncentrale is noodstroomvoorziening.
aangesloten
op
de Ja
Volgen van Cipers opleidingen bij PinkRoccade.
Ja
Evt. toelichting/opmerking
Planning Verplicht
Fac. zaken PBZ
7. Personeel Er is een de beveiligingsbeheerder voor de gehele Ja organisatie door het bevoegde gezag aangewezen. Onder een beveiligingsbeheerder wordt verstaan: ‘een functionaris die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen’. Per bedrijfskritisch computersysteem en in ieder geval het Ja centrale computersysteem, is een systeemen netwerkbeheerder en een plaatsvervangend systeem- en netwerkbeheerder aangewezen. Per vitale bedrijfsapplicatie is er minimaal applicatiebeheerder (GBA) aangewezen met vervang(st)er.
een een
De “beveiligingstaken” zijn vastgelegd in functieomschrijvingen van de beveiligingsbeheerder, informatiebeheerder, de applicatiebeheerder, privacybeheerder, de systeem- en netwerkbeheerder tenslotte de gegevensbeheerder. Onderzoeken van antecedenten van sollicitanten op kritische functies zoals hiervoor genoemd die in een vergevorderd stadium van de sollicitatieprocedure zijn. Onder “antecedentenonderzoek” wordt verstaan: o
o
controle van het curriculum vitae door o.a. “spiegeling” van gegevens die nieuw benoemde medewerkers aanleveren in hun C.V. met externe bronnen zoals pensioenfondsen en bedrijfsverenigingen; bevestiging van opleidingskwalificaties door middel
Informatiebeveiligingsplan GBA Waalwijk
Ja
de Ja de de en
Concern
T.a.v. GBA, Reisdocumenten en rijbewijzen is dit ondergebracht bij het bureau Interne Controle
ICT
Verplicht GBA audit
ICT
PBZ
Ja
HRM
Nee
HRM
Verplicht GBA audit
Verplicht GBA audit Dit is voldoende Beheerregeling GBA.
pagina 40 van 84
afgedekt
in
de
Verplicht GBA audit
Risicogroep
Al Actiegenomen? nemer
Aanbevolen Maatregelen van het overleggen van de originele diploma’s en certificaten;
Nee
HRM
o
overleggen van een verklaring omtrent het gedrag;
Ja
HRM
o
identificatiecontrole conform de Wet op de Identificatieplicht voor zover het sollicitanten betreft die daadwerkelijk worden benoemd.
De eigen (vaste) medewerkers hebben bij aanvang van Ja het dienstverband een geheimhoudingsverklaring ondertekend. In de geheimhoudingsverklaring moet onder andere een verwijzing worden opgenomen naar organisatiegevoelige informatie en privacygevoelige informatie . Overigens is ook in de CAO (artikel 15:1:3 onder de letter c geheimhouding verplicht. Diezelfde CAO kwalificeert schending van de geheimhouding als plichtsverzuim met daaraan verbonden de mogelijkheid tot een disciplinaire straf. Externe functionarissen (bijvoorbeeld uitzendkrachten) Ja die door de gemeente Waalwijk worden ingehuurd, hebben bij aanvang van de werkzaamheden een geheimhoudingsverklaring ondertekend. Deze geheimhoudingsverklaring dient getekend te zijn voordat de externe functionarissen gebruik mogen maken van de ICT-voorzieningen van de gemeente Waalwijk. Nieuwe medewerkers van de gemeente Waalwijk worden Ja over de risico's van het gebruik van informatietechnologie en de noodzaak van informatie beveiliging kort voorgelicht. Deze voorlichting dient bij aanvang van dienstverband plaats te vinden en indien noodzakelijk naar het oordeel van het afdelingshoofd te worden herhaald.
Evt. toelichting/opmerking Moet eind 2013 wel zijn gerealiseerd
PBZ
Toegang tot gegevens van het GBA wordt slechts verleend na ondertekening van geheimhoudingsverklaring
PBZ / ICT
Zie hierboven. Voor zover het gaat om het raadplegen van persoonsgegevens.
PBZ
De voorlichting dient aandacht te besteden aan:
beveiligingsprocedures en -technieken;
bekendmaking van het beveiligingsbeleid;
gebruik van ICT-voorzieningen. Deze voorlichting is zowel van toepassing medewerkers als op extern personeel. Informatiebeveiligingsplan GBA Waalwijk
op
eigen Ja
PBZ
pagina 41 van 84
Planning Verplicht
Risicogroep
Aanbevolen Maatregelen
Al Actiegenomen? nemer
Evt. toelichting/opmerking Dit wordt geregistreerd persoonsdossier.
in
Planning Verplicht
Door de gemeente Waalwijk wordt gezorgd voor goede Ja opleiding en begeleiding van de medewerkers. De kennis wordt op peil gehouden door regelmatige bijscholing. De gevolgde opleidingen worden geregistreerd.
HRM
het
Er wordt onder verantwoordelijkheid van het afdelingshoofd een adequate functiescheiding toegepast. Functiescheiding wordt toegepast om het risico van nalatigheid en opzettelijk misbruik van systemen te verminderen.
Ja
PBZ
Verplicht GBA audit
Ja
PBZ
Verplicht GBA audit
Er wordt aangeraden om vooral de volgende werkzaamheden niet door dezelfde medewerkers te laten uitvoeren:
gegevensinvoer;
systeem- en netwerkbeheer;
administratieve controle op de beveiliging.
Periodiek (dat wil zeggen indien daartoe aanleiding bestaat c.q. uiterlijk eenmaal per half jaar) wordt in het werkoverleg aandacht besteed aan:
voortgang van de implementatie van beveiligingsmaatregelen;
bekendheid van maatregelen bij de betrokkenen;
opgetreden beveiligingsincidenten en de afhandeling hiervan.
Informatiebeveiligingsplan GBA Waalwijk
pagina 42 van 84
5 Procedures beveiliging GBA 5.1 Procedure Back-up van de GBA-applicatie 5.1.1 Inleiding De inhoud van deze procedure is vertrouwelijk maar dient bekend te zijn aan alle medewerkers betrokken bij het proces betreffende het maken van periodieke back-ups van het GBA systeem. 5.1.2 Doel De procedure bestaat uit twee onderdelen. Het eerste deel voorziet in de gestructureerde en vastgelegde werkwijze voor het maken van periodieke back-ups van het besturingssysteem inclusief instellingen en parameters, de data en de applicaties. Het tweede deel (procedure ‘Restore van de GBA-applicatie’) voorziet in de gestructureerde en vastgelegde werkwijze voor het automatisch terugplaatsen en beproeven van gegevens na een (laatst uitgevoerde) back-up. 5.1.3 Definitie Met een back-up in het kader van deze procedure wordt bedoeld een activiteit waarbij alle gegevens met betrekking tot het GBA informatiesysteem (systeemprogrammatuur, applicatie programmatuur en databestanden) exact worden gekopieerd naar een toereikend en naar extern verplaatsbaar medium (tape of verwisselbare schijf). Met beproeven wordt in dit verband bedoeld het controleren van de juiste werking van systeemprogrammatuur, applicatie, aansturing van hardware evenals een check op de integriteit van de databestanden. 5.1.4 Verantwoordelijkheid Het opstellen van de procedure gebeurt door de systeem- en netwerkbeheerderen. Het uitvoeren van de dagelijkse back-up in overeenstemming met de procedure door de systeem- en netwerkbeheerderen volgens een vastgesteld rooster. Besluitvorming bij mislukken van een back-up actie gebeurt in gezamenlijk overleg tussen de systeem- en netwerkbeheerder en de applicatiebeheerder GBA. Rapportage van de beslissing aan het hoofd Publiekszaken. Het transporteren naar de kluis van een back-up gebeurt door de systeem- en netwerkbeheerder. Voor alle in deze procedure voorkomende functies is in de Beheerregeling de vervanging vastgelegd. 5.1.5 Actualiteit De systeem- en netwerkbeheerder is verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, leidt dit tot de in hoofdstuk 1.7 beschreven goedkeuringsprocedure. 5.1.6 Uitvoering Een back-up wordt automatisch aangemaakt. Deze automatische handeling vindt plaats iedere nacht (start om 02.10 uur) volgend op een reguliere werkdag. Indien noodzakelijk kan de systeem- en netwerkbeheerder in overleg met de applicatiebeheerder GBA bepalen om handmatig een (extra) back-up te vervaardigen nog voordat de gebruikers aanloggen. Tevens kan in voorkomende gevallen de systeem- en netwerkbeheerder in overleg met de applicatiebeheerder GBA besluiten om back-up te maken met open bestanden omdat
Informatiebeveiligingsplan GBA Waalwijk
pagina 43 van 84
er bepaalde processen actief zijn die niet kunnen worden gestopt. Deze aldus vervaardigde back-up is niet 100% betrouwbaar. Indien deze handmatige activiteit van invloed is op de beschikbaarheid van het GBA systeem voor de reguliere afnemers, wordt deze handmatige activiteit uitsluitend verricht met uitdrukkelijke toestemming van de applicatiebeheerder GBA. De back-up vindt plaats nadat het berichtenverkeer met het GBA-netwerk heeft plaatsgevonden (start om 00.05 uur). Iedere werkdag wordt er van de server een back-up gemaakt worden. De back-up van de AS400 server waarop de GBA-applicatie draait vindt plaats nadat het berichtenverkeer met het GBA-netwerk heeft plaatsgevonden. Voor het maken van de back-up wordt de volgende methode/werkwijze gehanteerd:
De originele gegevens bevinden zich in het externe geheugen van het systeem.
De per werkdag (maandag t/m vrijdag) gemaakte dagback-up van de gegevens aanwezig op een of meer tapes, bevinden zich in de brand- en inbraakwerende datakluis in Zwembad Olympia. Deze back-up is in de avond/nacht van de vorige werkdag gemaakt. Het betreft hier een dagback-up.
De dagback-up welke gemaakt wordt in de nacht van vrijdag op zaterdag fungeert als week back-up. Deze weekback-ups bevinden zich in de brand- en inbraakwerende kluis op het Zwembad Olympia.
Op maandag tot en met donderdag wordt een dagelijkse back-up gemaakt. Op vrijdag wordt de back-up gemaakt die vier weken wordt bewaard. Deze tape(s) worden eveneens opgeslagen in de brand- en inbraakwerende kluis op het Zwembad Olympia.
De oudste dagback-up bevindt zich in de tape unit van de computer en wordt weer gebruikt voor de eerstvolgende kopieergang van de originele gegevens.
Na iedere kopieergang schuiven de kopieën één generatie op en veranderen dienovereenkomstig van opbergplaats. Dit gebeurt dus elke werkdag. Een systeembackup/dagback-up neemt maximaal 2 uur in beslag. De dagtapes worden 1 jaar gebruikt waarna ze worden vervangen door nieuwe tapes. Na dat jaar worden de tapes vernietigd volgens de procedure ‘vernietiging van verwijderbare media’. De back-up wordt elke ochtend door de systeem- en netwerkbeheerder opgeborgen in de brand- en inbraakwerende datakluis in Gemeentekantoor Sprang-Capelle. De weekbackup wordt elke maandagochtend door de bodedienst overgebracht naar de brand- en inbraakwerende kluis op het gemeentekantoor Sprang-Capelle. De back-ups worden aangemaakt volgens het onderstaand schema: Bewaartermijn een week: Maandag
(dagback-up systeem)
Dinsdag
(dagback-up systeem)
Woensdag
(dagback-up systeem)
Donderdag
(dagback-up systeem)
Bewaartermijn 4 weken Week 1
(weekback-up systeem; in de nacht van vrijdag op zaterdag)
Week 2
(weekback-up systeem; in de nacht van vrijdag op zaterdag)
Week 3
(weekback-up systeem; in de nacht van vrijdag op zaterdag)
Week 4
(weekback-up systeem; in de nacht van vrijdag op zaterdag)
Informatiebeveiligingsplan GBA Waalwijk
pagina 44 van 84
Bewaartermijn 9 maanden: maandtapes: Laatste vrijdag van de maand (4x) Bewaartermijn variabel: Aanleiding (bij wijziging besturingssysteem server) Figuur Back-up procedure Mogelijkheid 1: back-up zonder foutmelding 1. Indien het log bestand aangeeft dat de back-up zonder problemen heeft plaatsgevonden wordt de tapecassette door de systeem- en netwerkbeheerder elke werkdag (aan het begin daarvan) uit de tapedrive genomen en vervangen door een vrijgegeven tapecassette. 2. In de tapedrive wordt door de systeem- en netwerkbeheerder de te beschrijven tapecassette geplaatst. Van de succesvol verlopen back-up wordt melding gemaakt op het back-up registratieformulier (zie bijlage 1 ‘formulier back-up registratie’). 3. De systeem- en netwerkbeheerder draagt er voor zorg dat elke ochtend de meest recente geslaagde back-up (dat is normaal gesproken die van de afgelopen nacht) wordt overgebracht naar de brand- en inbraakwerende datakluis Zwembad Olympia. Van het opbergen van de back-up in de kluis wordt door de systeem- en netwerkbeheerder melding gemaakt op het back-up registratieformulier. De systeem- en netwerkbeheerder draagt er wekelijks zorg voor dat de meest recente back-up (dat is normaal gesproken die van de zondagavond) wordt overgebracht naar de brand- en inbraakwerende kluis op het Zwembad Olympia. Mogelijkheid 2: Back-up met foutmelding 1. Indien het log bestand aangeeft dat tijdens de back-up fouten zijn geconstateerd, dient zo spoedig mogelijk (na analyse en in overleg met het hoofd Publiekszaken een nieuwe back-up te worden vervaardigd. Zo mogelijk wordt een beperkte back-up gemaakt van de noodzakelijke gegevensbestanden. 2. De senior systeem- en netwerkbeheerder neemt onmiddellijk contact op met de applicatiebeheerder GBA. In overleg met en met goedkeuring van laatstgenoemden, worden de gebruikers van het systeem door de senior systeem- en netwerkbeheerder verzocht uit te loggen of nog niet in te loggen. De applicatiebeheerder GBA dient in dit verband rekening te houden met alle binnengemeentelijke en buitengemeentelijke afnemers. In het bijzonder het GBAberichtenverkeer moet in ogenschouw worden genomen. Geen van deze processen kunnen namelijk actief zijn gedurende de back-up. 3. De systeem- en netwerkbeheerder gaat na of alle gebruikers zijn uitgelogd. Indien dit het geval is, wordt onmiddellijk handmatig een nieuwe back-up vervaardigd. Slechts de gegevens worden in dit geval een back-up gemaakt. Indien en voor zover deze back-up Informatiebeveiligingsplan GBA Waalwijk
pagina 45 van 84
zonder fouten plaatsvindt, wordt de procedure afgehandeld zoals eerder beschreven voor een back-up zonder foutmelding. Er wordt altijd een back-up gemaakt tenzij hiervan de consequentie is dat de dienstverlening aan de burger in het gedrang komt en openingstijden van de loketten moeten worden verlaat. In dat geval wordt er echter voor gezorgd dat in ieder geval binnen 24 uur alsnog een geldige back-up wordt gemaakt. 4. Indien de back-up fouten blijft aangeven, worden onmiddellijk ook de applicatiebeheerders van andere applicaties daarvan in kennis gesteld. Na onderling overleg wordt door systeembeheer bepaald of de leverancier van de software en/of hardware wordt ingeschakeld. In samenwerking met deze leverancier wordt getracht de fout te reconstrueren en te verhelpen. 5.1.7 Registratie van back-up activiteiten 1. Van iedere back-up (automatisch en/of handmatig) wordt een registratie bijgehouden in een back-up log bestand. Het log bestand van de automatisch verrichte back-up, wordt op de eerstvolgende werkdag gecontroleerd op fouten. Van deze controle wordt een registratie bijgehouden door de systeem- en netwerkbeheerder. Hiervoor kan het bijgevoegde back-up registratieformulier gebruikt worden (zie bijlage 1 ‘formulier backup registratie’). 2. Het back-up registratieformulier wordt beheerd door de systeem- en netwerkbeheerder en wordt op het netwerk bewaard met een backup naar tape. Eenmaal per kwartaal brengt de systeem- en netwerkbeheerder met behulp van het back-up registratieformulier verslag uit aan het hoofd Publiekszaken. 5.1.8 Terugroepen van back-ups Indien noodzakelijk dient de (meest recente) back-up te kunnen worden teruggeroepen van de externe locatie. Dit is op circa 2.000 meter afstand gelegen in de brand- en inbraakwerende kluis op het Zwembad Olympia. Het terughalen van de back-up is een verantwoordelijkheid van de systeem- en netwerkbeheerder. Deze activiteit neemt hooguit 2 uur in beslag.
Informatiebeveiligingsplan GBA Waalwijk
pagina 46 van 84
5.2 Procedure Restore van de GBA-applicatie 5.2.1 Inleiding Voor de uitvoering van de hier genoemde restore werkzaamheden zijn de systeem- en netwerkbeheerder en de applicatiebeheerder GBA gezamenlijk verantwoordelijk. De systeem- en netwerkbeheerder is verantwoordelijk voor alle systeemtechnische handelingen die nodig zijn voor het terugplaatsen van de gegevens vanaf de back-up tape tot het moment waarop het systeem werkend kan worden opgeleverd aan de applicatiebeheerder GBA. Indien nodig kan de leverancier voor het uitvoeren van de restore worden ingeschakeld. 5.2.2 Doel De procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het automatisch terugplaatsen en beproeven van gegevens na een (laatst uitgevoerde) backup. 5.2.3 Definitie Met restore wordt bedoeld het terugplaatsen annex overschrijven van de systeemprogrammatuur, applicatieprogrammatuur en/of databestanden gerelateerd aan het informatiesysteem. Bij het terugplaatsen wordt gebruik gemaakt van de bestanden zoals deze aanwezig zijn op de meest recente back-up. Meestal is dit de dagback-up van de werkdag voorafgaand aan de dag waarop de restore noodzakelijk blijkt te zijn. 5.2.4 Verantwoordelijkheid Het opstellen en het up-to-date houden van de procedure is de verantwoordelijkheid van de systeem- en netwerkbeheerder. Het uitvoeren van de restore in gebeurt in overeenstemming met de procedure door de systeem- en netwerkbeheerder. Besluitvorming bij het restoren van een back-up gebeurt in gezamenlijk overleg tussen de systeem- en netwerkbeheerder en de applicatiebeheerder GBA. Rapportage van de beslissing aan het hoofd Publiekszaken. Voor alle in deze procedure voorkomende functies is in de Beheerregeling de vervanging vastgelegd. 5.2.5 Actualiteit De systeem- en netwerkbeheerder is verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, leidt dit tot de in hoofdstuk 1.7 beschreven goedkeuringsprocedure. 5.2.6 Uitvoering 1. De noodzaak tot restore van de gegevens kan worden ingegeven door verschillende oorzaken. Enkele daarvan zijn:
Het installeren van een versie, release of modificatie waarbij zich problemen voordoen. Een verkeerde werking van correctiesoftware. Het niet naar verwachting werken van systeem- of applicatieprogrammatuur. Foutmeldingen op systeem- of applicatieniveau. Foutmeldingen van gebruikers. Foutmeldingen van hardware.
Informatiebeveiligingsplan GBA Waalwijk
pagina 47 van 84
2. In eerste instantie worden de door de gebruikers geconstateerde fouten gemeld aan de applicatiebeheerder GBA. Deze neemt direct contact op met de systeem- en netwerkbeheerder. 3. Het maken van een foutenanalyse en de restore van het systeem krijgt altijd voorrang boven andere werkzaamheden. De foutenanalyse wordt door de applicatiebeheerder GBA gezamenlijk met de systeem- en netwerkbeheerder gemaakt. Hierbij wordt zonodig de helpdesk van de leverancier ingeschakeld. Wanneer er geen mogelijkheid bestaat om de fout(en) (verminkte bestanden, disfunctionerende systemen) te herstellen wordt overgegaan tot restore. 4. Vóór het uitvoeren van een restore wordt door de systeem- en netwerkbeheerder gecontroleerd of er nog gebruikers zijn ingelogd op het systeem. In samenwerking met de applicatiebeheerder GBA wordt deze gebruikers opdracht gegeven om uit te loggen. Zodra het systeem vrij is van gebruikers worden de restore werkzaamheden uitgevoerd. 5. De systeem- en netwerkbeheerder controleert of de meest recente geslaagde back-up aanwezig is, of dat deze door middel van de in de procedure ‘back-up van de GBAapplicatie’ beschreven wijze moet worden teruggeroepen van een externe bewaarlocatie. Uitsluitend de meest recente geslaagde back-up wordt teruggeplaatst. Indien de foutenanalyse uit heeft gewezen dat de gemelde fouten te maken hebben met het besturingssysteem of de applicatiesoftware zelf, dan wordt uiteraard altijd een systeem back-up gebruikt. 6. De systeem- en netwerkbeheerder neemt contact op met de applicatiebeheerder GBA of één van de andere medewerkers van Publiekszaken voor het toereikend informeren van aanwezig publiek evenals binnen- en (indien relevant) buitengemeentelijke afnemers. Eventueel worden ook SDU (RAAS), BPR, RDW gewaarschuwd door de applicatiebeheerder GBA. Eventueel worden ook BNG en Gemnet gewaarschuwd door de systeem- en netwerkbeheerder. 7. Bij de restore van gegevens moet rekening worden gehouden met een reconstructietijd, inclusief controlewerkzaamheden, van circa 12 uur. 8. Aan de hand van de foutenanalyse wordt door de applicatiebeheerder GBA, in overleg met de systeem- en netwerkbeheerder en eventueel de leverancier, besloten tot één van de volgende reconstructies:
De gehele omgeving terugplaatsen.
Het terugplaatsen van specifieke bestanden.
Het terugplaatsen van specifieke programmamodules.
De teruggezette back-up bevat de situatie van de dag voorafgaand aan de calamiteit. 9. De applicatiebeheerder GBA draagt er voor zorg dat het interne en externe berichtenverkeer tot nader order wordt stopgezet. Hiermee wordt voorkomen dat onjuiste of corrupte gegevens aan het berichtenverkeer worden vrijgegeven.
Informatiebeveiligingsplan GBA Waalwijk
pagina 48 van 84
10. De gegevens worden teruggeplaatst van de back-up. Wanneer de restore is geslaagd wordt de omgeving door de systeem- en netwerkbeheerder vrijgegeven voor testen. De applicatiebeheerder GBA doet vervolgens een integriteittest op het systeem. Daarbij test de applicatiebeheerder GBA:
De toegankelijkheid van de applicatie.
De juiste werking en aansturing van de benodigde hardware.
De integriteit van de database aan de hand van een klein aantal testgevallen.
11. Indien het systeem naar het oordeel van de applicatiebeheerder GBA naar behoren werkt, wordt het gebruik van het systeem weer toegestaan voor de reguliere gebruikers daarvan. De systeem- en netwerkbeheerder zorgt via een netwerkmelding/e-mail voor de communicatie aan deze reguliere gebruikers. Zie ook de procedure ‘herstel van mutaties’. 12. Het terugplaatsen van de meest recente back-up kan, gelet op de back-up discipline genoemd in procedure ‘back-up van de GBA-applicatie’, in voorkomende gevallen leiden tot een maximaal tijdsbestek van één werkdag. Alle mutaties die in het systeem zijn uitgevoerd nadat deze jongste back-up is vervaardigd zijn na het overschrijven/terugplaatsen van deze back-up verloren gegaan. 13. Van de situatie die ontstaat na de restore wordt zo spoedig mogelijk doch uiterlijk de daaropvolgende nacht een nieuwe back-up gemaakt. 5.2.7 Toetsing 1. Eenmaal per jaar wordt door de systeem- en netwerkbeheerder en de applicatiebeheerder GBA getoetst of conform de procedures ‘back-up van de GBAapplicatie’ en ‘restore van de GBA applicatie’ wordt gewerkt. De beproeving vindt plaats in de testomgeving. De gemeente Waalwijk heeft een tweede eigen GBA-systeem tot haar beschikking. Er is de beschikking over een testomgeving, waarin de volledige productieomgeving (GBAprogrammatuur en –gegevensbestanden) kan worden geplaatst cq real-time wordt bijgehouden. Gerapporteerd wordt door de systeem- en netwerkbeheerder over:
Niet gelukte back-ups. Opgetreden bedreigingen. Uitgevoerde beproevingen. De tijd die een back-up kost in termen van niet-beschikbaarheid van het systeem, niet beschikbaarheid van de applicatie en doorlooptijd.
2. De systeem- en netwerkbeheerder rapporteert over de toetsing van de procedures aan het hoofd Publiekszaken en past zonodig de procedures aan. In deze rapportage is aangegeven wat er is getest, hoe dat is getest, waar dat is getest, met welke gegevens er is getest en wat de bevindingen zijn. Tenslotte wordt aangegeven of er verbetermaatregelen moeten worden opgenomen. 3. Tevens wordt de volledige restore ook extern eenmaal per jaar tijdens de uitwijk getest door de systeem- en netwerkbeheerder en de applicatiebeheerder GBA. Hieruit volgt een rapportage die, via het hoofd Publiekszaken en aan het college ter kennisneming wordt
Informatiebeveiligingsplan GBA Waalwijk
pagina 49 van 84
aangeboden. Na iedere test wordt de gehele procedure tegen het licht gehouden. Zie ook de procedure ‘uitwijk’. Overigens vindt tijdens de uitwijk niet ook tevens de reconstructietest als bedoeld in 5.3 plaats. In deze rapportage is aangegeven wat er is getest, hoe dat is getest, waar dat is getest, met welke gegevens er is getest en wat de bevindingen zijn. Tenslotte wordt aangegeven of er verbetermaatregelen moeten worden getroffen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 50 van 84
5.3 Procedure Herstel van mutaties 5.3.1 Inleiding Het kan in de praktijk voorkomen dat n.a.v. bijvoorbeeld een crash teruggegaan moet worden naar de laatste “I & A back-up”. Deze laatste back-up is altijd van “vandaag 02.10 uur”. De dagelijkse verwerking van het berichtenverkeer wordt door het systeem om 00.05 uur gedaan. Deze is dus altijd in de laatste back-up verwerkt. Bij het terugzetten van de laatste back-up moeten de mutaties van die dag en het berichtenverkeer dat niet automatisch is afgehandeld opnieuw worden verwerkt. De mutaties die in de basisadministratie zijn verwerkt (d.m.v. brondocumenten, burgerlijke stand, module reisdocumenten en berichtenverkeer) zijn voor elke periode via de functie mutatieberichtgeving op te roepen. We genereren van maandag tot en met vrijdag (16.00 à 16.30 uur) mutatieverslagen (spoolfiles) die op een usb-stick (publiekszaken back-up) worden opgeslagen zodat bij een reconstructie de mutaties van die dag zichtbaar gemaakt kunnen worden. 5.3.2 Publiekszaken back-up Dagelijks worden door de applicatiebeheerder, gegevensbeheerder of één van de gegevensverwerkers GBA (al naar gelang de aanwezigheid van deze functionarissen) alle mutaties/wijzigingen/correcties in de basisadministratie op een usb-stick geplaatst. Deze usb-sticks worden opgeslagen in de braak- en brandwerende kluis op de afdeling Publiekszaken. De applicatiebeheerder controleert wekelijks steekproefsgewijs de inhoud van de usbstick. 5.3.3 Melding Na melding door de systeembeheerder dat de ICT back-up is teruggeplaatst start de beheerder de herstelprocedure, informeert de applicatiebeheerder, gegevensbeheerder en twee gegevensverwerkers en deelt de politiek verantwoordelijke bestuurder mee dat voor de basisadministratie de herstelprocedure in werking is getreden. 5.3.4 Prioriteit De herstelprocedure heeft op de afdeling Publiekszaken de hoogste prioriteit. De loketten van de afdeling worden/zijn/blijven voor het publiek gesloten totdat de beheerder heeft geconstateerd dat de herstelprocedure met gegarandeerd succes is afgerond. 5.3.5 Verantwoordelijkheid De beheerder is verantwoordelijk voor de herstelprocedure. De gegevensbeheerder coördineert de werkzaamheden en adviseert de beheerder. De applicatiebeheerder verleent technische ondersteuning. 5.3.6 Vervanging De vervanging van de genoemde functionarissen is geregeld in de Beheerregeling. 5.3.7 Verzamelen mutaties De aan te brengen mutaties/wijzigingen/correcties komen op de volgende wijze tot stand: - vanaf de (papieren) brondocumenten; - vanuit de module burgerlijke stand; - uit het berichtenverkeer (automatisch of handmatig te verwerken); - vanuit de module reisdocumenten (inhoudingen/vermissingen en uitreikingen).
Informatiebeveiligingsplan GBA Waalwijk
pagina 51 van 84
5.3.8 Papieren brondocumenten De gegevensverwerker of bij diens afwezigheid de gegevensbeheerder controleert vanaf de brondocumenten de door een andere gegevensverwerker gemuteerde wijzigingen. Vervolgens worden de brondocumenten opgeborgen in de weekcyclus in een afsluitbare kast. T.b.v. de herstelprocedure en de controle hierop worden de papieren brondocumenten gelicht. 5.3.9
Burgerlijke stand
Vanuit de module burgerlijke stand wordt de basisadministratie ook gemuteerd door rechtsfeiten opgenomen in akten die vandaag zijn opgemaakt en door rechtsfeiten opgenomen in vandaag opgemaakte latere vermeldingen bij oudere akten. Deze akten en latere vermeldingen zijn opgeslagen in een afsluitbare kast op de kamer burgerlijke stand. T.b.v. de herstelprocedure en de controle hierop worden de akten en latere vermeldingen gelicht. 5.3.10 Berichtenverkeer Diverse ontvangen berichten hebben invloed op de basisadministratie i.c. de persoonslijst. Deze berichten worden automatisch of handmatig afgehandeld. De volgende berichten leiden tot wijziging of opname van gegevens: bericht:
gevolg in de basisadministratie/persoonslijst:
Ap01
plaatsen afnemersindicatie op persoonslijst (cat. 14)
Av01
verwijderen afnemersindicatie van persoonslijst (cat. 14)
Ba11
Presentieantwoord (vervallen LO 3.8, per 1-10-2012)
Bf11
Presentievraag niet te beantwoorden (vervallen LO 3.8, per 1-10-2012)
Ep01
plaatsen afnemersindicatie op adreslijst
Ev01
verwijderen afnemersindicatie van adreslijst
Ib01
ontvangst en opname van persoonslijst in de basisadministratie
Ib01
verzending en verwijdering van persoonslijst uit de basisadministratie
Ii01
intergemeentelijke verhuizing (opname blokkering in cat. 07)
Iv01
ontvangst van verwijsgegevens (cat. 21)
Jb01
Verhuizen van RNI naar gemeente
Jv01
Verwijsgegevens naar RNI
Rb01
Verhuizen naar RNI
Rv01
Verwijsgegevens van RNI
Og11
opnemen/wijzigen verblijfstitel (cat. 10)
Qv01
Doorsturen dossier terugmelding
Tb01
toevallige geboorte (aanleg persoonslijst en opname cat. 09)
Tb02
toevallige gebeurtenis (cat. 01, 05, 06 en evt. 02, & 03)
Wa01
wijzing A-nummer (cat. 01 en evt. 02, 03, 05 & 09)
T.b.v. de herstelprocedure en de controle hierop worden deze berichten geïnventariseerd. 5.3.11 Module reisdocumenten Vanuit de module reisdocumenten worden de inhoudingen/vermissingen en uitreikingen in de basisadministratie gemuteerd. De mutaties vanuit de module reisdocumenten
Informatiebeveiligingsplan GBA Waalwijk
pagina 52 van 84
worden via de basisadministratie in de dagelijkse mutatierapportage opgenomen. Deze rapportage is zodanig gebouwd dat een volledige categorie 12 (uitreiking) kan worden opgenomen of kan worden gemuteerd (inhouding/vermissing). De overzichten van het RAAS en de papieren aanvraagformulieren worden gebruikt om het herstel te controleren. 5.3.12 Publiekszaken back-up/mutatieberichtgeving In de functie mutatieberichtgeving is een procedure gebouwd om de hieronder genoemde mutatiesoorten en categoriewijzigingen visueel te maken. De mutaties worden in een spoolfile geplaatst en vanuit de afdrukuitvoer op een dagelijkse usb-stick geplaatst. In deze spoolfiles staan alle mutaties en categoriewijzigingen die nodig zijn om de herstelprocedure volledig uit te voeren en om het herstel te controleren. mutatiesoorten: geboorte
overlijden
huwelijk/partnerschap
ontbinding huw./part.
binnenverhuizing
emigratie
vestiging
voornaam
naam
reisdocumenten
nationaliteiten
erkenning
adoptie
ontkenning
gezagsverhouding
kindgegevens
vertrek
verblijfstitel
persoon
afstamming ouder 1
afstamming ouder 2
nationaliteit
huwelijk/partnerschap
overlijden
inschrijving
verblijfplaats
afstamming kind
verblijfstitel
gezagsverhouding
reisdocument
kiesrecht
afnemersindicatie
vernaming/vernummering categoriewijzigingen
5.3.13 Testen herstel De herstelprocedure wordt uitgevoerd in de testomgeving. De systeembeheerder maakt op de dag, dat getest wordt de testomgeving identiek aan de productieomgeving. Dit gebeurt nadat het berichtenverkeer is verwerkt zodat de ontvangen/verzonden berichten ook klaar staan in de testomgeving. De applicatiebeheerder haalt de spoolfiles van de publiekszaken back-up en overhandigt deze aan de gegevensbeheerder. De gegevensbeheerder verdeelt de mutaties/wijzigingen/correcties die op eerder genoemde wijze tot stand zijn gekomen over de twee gegevensverwerkers. De te hanteren volgorde van gegevensverwerking is: 1. 2. 3. 4. 5.
het muteren naar aanleiding van het berichtenverkeer; de rechtsfeiten uit de burgerlijke stand; de mutaties naar aanleiding van de binnengekomen brondocumenten; overige mutaties, wijzigingen en correcties; de mutaties vanuit de RAAS.
De gegevensverwerkers voeren de mutaties/wijzigingen/correcties conform de geldende voorschriften in de testomgeving uit. Bij twijfel wordt de gegevensbeheerder geraadpleegd.
Informatiebeveiligingsplan GBA Waalwijk
pagina 53 van 84
5.3.14 Controle herstel Als alle mutaties/wijzigingen/correcties in de testomgeving zijn uitgevoerd, controleert de gegevensbeheerder aan de hand van de spoolfiles uit de productieomgeving of deze identiek zijn met de spoolfiles uit de testomgeving. Niet uitgevoerde of foutief uitgevoerde mutaties/wijzigingen/correcties worden door de gegevensverwerker in overleg met gegevensbeheerder alsnog verwerkt Vervolgens worden uit de mutatieberichtgeving van de testomgeving nogmaals de spoolfiles gemaakt. Als deze identiek zijn met de spoolfiles uit de productieomgeving dan is de herstelprocedure geslaagd. 5.3.15 Herstel is niet of niet volledig uitgevoerd Als geconstateerd wordt dat de herstelprocedure niet of niet volledig is uitgevoerd, tracht de applicatiebeheerder (eventueel met de gegevensbeheerder en beheerder) te achterhalen wat het probleem is. Wordt het euvel niet gevonden, vindt overleg plaats met de systeembeheerder. Leidt dit ook niet tot resultaat, dan wordt contact opgenomen met de leverancier van het toepassingssysteem en worden verdere adviezen/ondersteuning afgewacht. 5.3.16 Herstel zonder burgerzaken back-up Mocht er tot de herstelprocedure worden overgegaan als de publiekszaken back-up nog niet is gemaakt, houdt de gegevensbeheerder toezicht op elke mutatie en controleert of een mutatie ook leidt tot categoriewijziging bij gerelateerden. 5.3.17 Afmelding en rapportage Als de gegevensbeheerder in overleg met de applicatiebeheerder heeft geconstateerd dat de herstelprocedure volledig geslaagd is, meldt hij dit aan de systeembeheerder en de beheerder. De beheerder meldt dit resultaat aan de politiek verantwoordelijke bestuurder. De gegevensbeheerder rapporteert de herstelprocedure schriftelijke aan de beheerder. 5.3.18 Vertrouwelijkheid De inhoud van deze procedure is vertrouwelijk maar dient bekend te zijn aan alle medewerkers betrokken bij het proces betreffende het herstellen van de gevolgen van onjuiste systematische verstrekkingen. 5.3.19 Doel De procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het herstellen en reconstrueren van de gevolgen van door de gemeente gedane onjuiste systematische verstrekkingen. De GBA is zodanig gestructureerd dat zonder invloed van het hoofd Publiekszaken en/of applicatiebeheerder GBA, verstrekkingen kunnen plaatsvinden aan door BZK geautoriseerde landelijke afnemers of aan andere binnengemeentelijke applicaties (gebruikers). De autorisatietabel, als onderdeel van het informatiesysteem, bepaalt aan welke afnemer/gebruiker, welke rechten voor het gebruik zijn toegekend. Deze verstrekkingen, die veelal betrekking hebben op wijzigingen in de persoonsgegevens, kunnen op initiatief van zowel de verzender als de ontvanger plaatsvinden. Dit elektronische berichtenverkeer vormt de basis van automatische en systematische verstrekkingen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 54 van 84
5.3.20 Definitie Met herstel van onjuiste verstrekking wordt bedoeld het zoveel mogelijk teniet doen van de gevolgen van onjuiste systematische verstrekking via het GBA-netwerk of via alternatieve media (usb sticks, CD-rom of eventueel tape). Het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties autoriseert afnemers voor de systematische verstrekking van gegevens uit de GBA. Verkeerd uitgevoerde systematische verstrekkingen kennen verschillende oorzaken. Een van de meest voorkomende oorzaken is dat de aanwezige autorisatietabelregels fouten bevatten, bijvoorbeeld verkeerde sleutelrubrieken of fouten in de voorwaardenregels. Verder kan de applicatie bij het selecteren van persoonslijsten of het aanmaken en verwerken van de berichten zelf fouten veroorzaken. Gelet op de mogelijk vergaande consequenties van verkeerd uitgevoerde systematische verstrekkingen moeten voldoende preventieve maatregelen worden getroffen die de kans op een dergelijke situatie minimaliseren. De applicatiebeheerder GBA moet erop toezien dat alleen (versies van) de GBA applicatie worden gebruikt die door BPR met goed gevolg zijn geschouwd en getoetst. Een tweede preventieve maatregel is dat de medewerkers van de afdeling Publiekszaken het -na een selectie aangemaakte- berichtenbestand globaal controleren op aantal en steekproefsgewijs op de inhoud van de berichten, nadat de berichten via het GBA netwerk of alternatief medium worden verzonden. 5.3.21 Verantwoordelijkheid De applicatiebeheerder GBA is verantwoordelijk voor de coördinatie van de werkzaamheden die hierna worden beschreven. Daarnaast is deze verantwoordelijk voor de controle op de juistheid van systematische verstrekkingen en de eventuele herstelwerkzaamheden bij een onjuiste systematische verstrekking. Het beheren en controleren van de autorisatietabel is eveneens een verantwoordelijkheid van de applicatiebeheerder GBA. Controle op onjuiste systematische verstrekkingen is een dagelijkse activiteit en vindt gelijktijdig plaats met de controle van het dagelijkse berichtenverkeer. De via het GBA netwerk verstuurde systematische verstrekkingen worden minimaal 4 dagen bewaard. Via alternatieve media verzonden systematische verstrekkingen worden minimaal 1 maand bewaard. De verantwoordelijkheid voor verstrekking of niet-verstrekking van de gegevens ligt altijd bij de verantwoordelijke (= het college) en namens deze het hoofd Publiekszaken. Voor alle in deze procedure voorkomende functies is in de Beheerregeling de vervanging vastgelegd. 5.3.22 Actualiteit De applicatiebeheerder GBA is verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, leidt dit tot de in hoofdstuk 1.7 beschreven goedkeuringsprocedure. 5.3.23 Uitvoering 1. De applicatiebeheerder GBA controleert steekproefsgewijze aan de hand van de verwerkingsverslagen of verstrekte of verkregen informatie uit het systeem rechtmatig is en is geschied conform de autorisatieregels. De verkeerd uitgevoerde systematische verstrekking kan ook worden ontdekt door de afnemer, de ingeschreven burger en/of de netwerkbeheerder van het GBA-netwerk.
Informatiebeveiligingsplan GBA Waalwijk
pagina 55 van 84
2. Indien blijkt dat gegevens zijn verstrekt aan of opgevraagd door een afnemer die daarvoor niet is geautoriseerd of wanneer aan de rechtmatigheid of geldigheid van de autorisatie wordt getwijfeld, stelt de applicatiebeheerder GBA een nader onderzoek in. 3. De applicatiebeheerder GBA controleert de autorisatietabel in relatie tot de hiervoor genoemde afnemer. Indien blijkt dat in de autorisatietabel een onterechte bevoegdheid is toegekend, stelt de applicatiebeheerder GBA het hoofd Publiekszaken hiervan in kennis. Voorts wordt er een verklaring opgesteld. Deze verklaring wordt aan de betrokken afnemer gezonden. Gelijktijdig wordt de onterechte autorisatie door de applicatiebeheerder GBA gewijzigd in de autorisatietabel. 4. Het formulier ‘Onterechte GBA verstrekkingen’ dient binnen een periode van 10 werkdagen te zijn terugontvangen door de applicatiebeheerder GBA. 5. Indien het formulier ‘Onterechte GBA verstrekkingen’ tijdig wordt ontvangen wordt de gewijzigde autorisatie in stand gehouden. 6. Indien het formulier ‘Onterechte GBA verstrekkingen’ niet tijdig wordt ontvangen, maar binnen een periode van 15 werkdagen zal de aangepaste autorisatie voor de betreffende afnemer/gebruiker geldig blijven of worden gemaakt. 7. Indien het formulier ‘Onterechte GBA verstrekkingen’ niet binnen 15 werkdagen is ontvangen, wordt gerappelleerd. Indien na dit rappel niet wordt gereageerd, wordt door de applicatiebeheerder GBA daadwerkelijke verzending van de berichten voor de bedoelde afnemer zoveel tegengehouden totdat de afnemer het ondertekende formulier terugzendt. Indien geen formulier wordt ontvangen na 1 maand na verzending, kan het hoofd Publiekszaken op advies van de applicatiebeheerder GBA beslissen om de autorisatie van de betreffende afnemer/gebruiker volledig ongedaan te maken in de autorisatietabel door een datum einde in te vullen. 8. De applicatiebeheerder GBA bewaart een kopie van het verstuurde formulier ‘Onterechte GBA verstrekkingen’ en bewaakt de hiervoor genoemde termijnen. Indien het ondertekende formulier wordt terug ontvangen wordt de kopie door het terugontvangen formulier vervangen. De applicatiebeheerder GBA brengt eenmaal per 6 maanden schriftelijk verslag uit aan het hoofd Burgerzaken betreffende verstuurde en terug ontvangen formulieren. 9. Degene die de verkeerde systematische verstrekking heeft gemeld wordt voor zover dat nog niet was gebeurd, geïnformeerd over de afhandeling. 10. Het terug ontvangen formulier ‘Onterechte GBA verstrekkingen’ vormt een controle document. Het formulier wordt door de applicatiebeheerder GBA zorgvuldig bewaard in overeenstemming met de bij de gemeente gangbare voorschriften betreffende archivering.
Informatiebeveiligingsplan GBA Waalwijk
pagina 56 van 84
5.4 Procedure Uitwijk 5.4.1 Inleiding De inhoud van deze procedure is vertrouwelijk maar dient bekend te zijn aan alle medewerkers betrokken bij het proces betreffende het uitwijken van de computerconfiguratie en systemen. Daarnaast dient het hoofd Publiekszaken als eindverantwoordelijke voor de beslissing tot uitwijk kennis te dragen van deze procedure. 5.4.2 Doel Deze procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het uitwijken met computerconfiguraties en software, evenals de beproeving daarvan. De procedure is beperkt tot de GBA-applicatie. Doelstelling van het uitwijken is om binnen 48 uur na een calamiteit weer met de kernapplicaties operationeel te zijn. 5.4.3 Definitie Met computer uitwijk wordt in dit kader bedoeld het voortzetten van de dienstverlening anders dan op het eigen systeem. Computer uitwijk vindt plaats indien door een plotselinge oorzaak (calamiteit) het eigen informatiesysteem voor een periode van meer dan twee werkdagen, niet voor gebruik beschikbaar is of kan zijn. Volgens de regelgeving moet computer uitwijk zodanig geregeld zijn, dat het systeem binnen een periode van 48 uren na het constateren van de uitval, operationeel weer ter beschikking staat aan de gebruikers en afnemers. Een calamiteit is elke gebeurtenis, tengevolge van een ongeluk of onheil, waardoor de eigen informatievoorziening niet meer functioneert. Voorbeelden hiervan zijn: brand, overstroming, wateroverlast, storm, blikseminslag maar ook langdurige technische storingen. 5.4.4 Verantwoordelijkheid Het hoofd Publiekszaken, in samenspraak met de systeem- en netwerkbeheerder zijn verantwoordelijk voor het nemen van de feitelijke beslissing om uit te wijken. Deze beslissing wordt genomen in het uitwijkteam. Indien Het hoofd Publiekszaken niet beschikbaar is wordt die verantwoordelijkheid waargenomen door een door hem voor dit doel aan te wijzen vervanger (senior medewerker Publiekszaken). Hoofd Publiekszaken (bij afwezigheid de senior medewerker Publiekszaken) is verantwoordelijk voor:
Het zo nodig beschikbaar stellen van arbeidscapaciteit (m.n. de applicatiebeheerder(s)) om in de uitgeweken situatie zo snel mogelijk operationeel te zijn. Het informeren van de baliemedewerkers, receptie, buitengemeentelijke afnemers.
De systeem- en netwerkbeheerder (bij afwezigheid de senior systeem- en netwerkbeheerder), is verantwoordelijk voor de uitvoering van de computer uitwijk. De systeem- en netwerkbeheerder fungeert als interne uitwijkcoördinator en draagt zorg voor:
Het opstellen en actualiseren van het computer uitwijkplan. Het vaststellen en bijhouden van de actuele hardware en software behoefte. Het vaststellen van taken en verantwoordelijkheden van medewerkers Automatisering.
Informatiebeveiligingsplan GBA Waalwijk
van
pagina 57 van 84
Het overleg met het uitwijkteam. Het verkrijgen van het definitieve besluit om daadwerkelijk uit te wijken.
De applicatiebeheerder GBA is verantwoordelijk voor:
Het coördineren van de applicatiewerkzaamheden. Het ondersteunen van het systeembeheer om in de uitgeweken situatie zo snel mogelijk operationeel te zijn. Specifieke informatievoorziening naar derden in het kader van de tijdelijke onderbreking van de dienstverlening.
Voor alle in deze procedure voorkomende functies is in de Beheerregeling de vervanging vastgelegd. 5.4.5 Actualiteit De systeem- en netwerkbeheerder is verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, leidt dit tot de in hoofdstuk 1.7 beschreven goedkeuringsprocedure. 5.4.6 Uitwijkvoorziening De beschrijving van de uitwijkvoorziening bevat de volgende elementen:
Omschrijving van de uitwijkapparatuur inclusief de datacommunicatie apparatuur. Omschrijving van de uitwijkfaciliteiten. Gelegenheid scheppen tot een uitvoeren van een eenmalige implementatietest en daarna een meer beperkte jaarlijkse reguliere test. Beschrijving van de locaties waarnaar kan worden uitgeweken. Aanduiding van de reactietijd waarbij verschil wordt gemaakt tussen interne en externe uitwijk. Maximale duur van de uitwijk. Verplichting voor de gemeente Waalwijk om te handelen conform het gestelde in artikel 52 en 53 van het Besluit GBA.
Verder is een uitwijkhandboek opgesteld ten behoeve van een concrete uitwijk. Dit handboek bevat tenminste:
Documentatie met informatie (o.a. telefoonnummers, adressen). Naam en telefoonnummer externe uitwijkcoördinator. Geldende regels bij Datacenter Brabant Testprocedures. Systeemcommando’s ten behoeve van de restore van gegevens. 5.4.7 Uitvoering
1. Het uitwijkteam inventariseert de (gevolg)schade die als gevolg van de calamiteit is ontstaan. Hierbij wordt het volgende nagegaan:
Of Of Of Of Of Of Of Of Of Of
het systeem nog te gebruiken is. de bekabeling nog intact is. de werkstations nog intact zijn. de printers nog intact zijn. de stroomvoorziening nog intact is. de telefoonverbindingen nog intact zijn. de datacommunicatieverbindingen nog intact zijn. de werkplekken nog te gebruiken zijn. de geprinte mutatieverslagen benodigd voor het herstel nog beschikbaar zijn. de voor het herstel noodzakelijke brondocumenten nog beschikbaar zijn.
Informatiebeveiligingsplan GBA Waalwijk
pagina 58 van 84
2. Het hoofd Publiekszaken bepaalt in overleg met het uitwijkteam wanneer er wordt uitgeweken. Leidraad hierbij is dat er sprake is van een calamiteit indien de normale dienstverlening niet meer vanuit de normale werkplekken in het gemeentehuis kan worden gegarandeerd. Het gaat dan bijvoorbeeld om een storing welke naar het zich laat aanzien niet binnen 24 uur verholpen kan worden. Het uitwijkteam heeft bij een langdurige storing of een calamiteit de keuze uit de volgende varianten:
Vervanging van de defecte apparatuur ter plaatse. Uitwijken in het externe uitwijkcentrum met remote verbinding naar de locatie van de gemeente Waalwijk. Uitwijken in het externe uitwijkcentrum met remote verbinding naar een alternatieve locatie van de gemeente Waalwijk. Uitwijken in het externe uitwijkcentrum met gebruikmaking van de kantoorfaciliteiten daar.
Hierbij geldt dat het de voorkeur verdient om zoveel mogelijk binnen de gemeente zelf uit te wijken in verband met de continuering van de dienstverlening aan de burgers en de bereikbaarheid van de (tijdelijke) werkplek voor het personeel. De medewerkers van de gemeente Waalwijk worden ingelicht over de calamiteit en er wordt een centraal punt ingericht voor het verkrijgen van informatie. Ingeval van persoonlijke ongelukken zal de desbetreffende leidinggevende de directe familie op de hoogte stellen en direct daarna het personeel. 3. Het uitwijkteam informeert de directe betrokkenen en/of gebruikers. Het uitwijkplan wordt in werking gesteld. Ook de contactpersonen van de leveranciers, BPR, Gemnet, KPN, RDW, beveiligingsbedrijf, SDU (RAAS), BNG worden door de interne uitwijkcoördinator op de hoogte gesteld. Het agentschap wordt gevraagd de cleaner voor het GBA berichtenverkeer te stoppen. De verzekeringsbeheerder (medewerker Verzekeringen) van de gemeente stelt de verzekeraar op de hoogte. De interne uitwijkcoördinator maakt een uitwijklogboek en schets daar achtereenvolgens de activiteiten, deelnemers en doorlooptijden. 4. De meest recente geslaagde back-up wordt (indien noodzakelijk vanuit de externe locatie) opgehaald en onmiddellijk naar het uitwijkcentrum vervoerd onder verantwoordelijkheid van het uitwijkteam. 5. Het uitwijkteam gaat naar de uitwijklocatie indien wordt uitgeweken op de uitwijklocatie. 6. De vervangende systemen worden gestart door de systeem- en netwerkbeheerder. De uitwijkactiviteiten worden gestart. Er worden de procedures gevolgd zoals beschreven in het IBM Alertplan (uitwijkhandboek gemeente Waalwijk) van IBM. Dit onder verantwoordelijkheid van de systeem- en netwerkbeheerder. 7. De datacommunicatieverbindingen worden geactiveerd vanaf de uitwijklocatie. Het agentschap BPR draagt er voor zorg dat de mailbox van de gemeente wordt gekoppeld aan het back-up Gemnet nummer dat wordt gebruikt bij de uitwijk.
Informatiebeveiligingsplan GBA Waalwijk
pagina 59 van 84
8. De eerder vermelde contactpersonen worden geïnformeerd over de start van uitwijkactiviteiten. Zie hiervoor ook het uitwijkhandboek gemeente Waalwijk van IBM. 9. De herstelwerkzaamheden worden gestart. Zie hiervoor de procedure ‘herstel van mutaties’. 10. Door het uitwijkteam wordt aan de hand van de rapportage van de applicaties waarvoor is uitgeweken vastgesteld dat de uitwijk kan worden beëindigd. De ‘normale’ werkprocessen worden hervat vanaf de uitwijklocatie. 11. De verzekeringsbeheerder van de gemeente Waalwijk draagt –in samenwerking met het uitwijkteam- zorg voor het verzamelen van bewijsstukken ten behoeve van een eventuele claim richting verzekeringsmaatschappij. Indien de geleden schade onder de dekking van de schadeverzekeringen valt, wordt een gedocumenteerde claim ingediend door de verzekeringsbeheerder. Deze handelt vervolgens de schade aangifte en eventuele verrekening af. 5.4.8 Toetsing 1. De computeruitwijk wordt tenminste éénmaal per jaar beproefd op de uitwijklocatie. Bij deze beproeving wordt gebruik gemaakt van de laatste gemaakte volledige systeem back-up. Daarnaast dient ook het interne gedeelte van deze procedure jaarlijks te worden beproefd. 2. Bij deze beproeving worden alle componenten van de uitwijkconfiguratie ook daadwerkelijk aangesloten en in bedrijf gesteld. Bij deze beproeving wordt in principe zo min mogelijk overlast veroorzaakt voor medewerkers en/of afnemers. Gelet op de aard van de werkzaamheden zal het echter nodig of onvermijdelijk zijn dat enige mate van overlast kan worden veroorzaakt. Voor wat betreft de interne beproeving wordt nagegaan of de interne bevelstructuur nog actueel is en de aangewezen functionarissen en hun plaatsvervangers juist zijn omschreven. Verder wordt nagegaan of in deze procedure genoemde acties ook in relatie tot het uitwijkcontract nog up-to-date zijn. Tot slot wordt nagegaan of de uitwijkprocedure bij alle mogelijke betrokkenen voldoende bekend is. 3. De systeem- en netwerkbeheerder stelt een schriftelijke rapportage op van hun bevindingen bij de jaarlijkse reguliere test. Deze wordt verstuurd aan het hoofd Publiekszaken van de gemeente Waalwijk. De systeem- en netwerkbeheerder past indien nodig deze procedure aan, dan wel zorgt ervoor dat de procedure wordt aangepast. 4. De applicatiebeheerder GBA rapporteert schriftelijk over de toetsing van de applicatietest bij de uitwijk aan het hoofd Publiekszaken en de systeem- en netwerkbeheerder. In deze rapportage is aangegeven wat er is getest, hoe dat is getest, waar dat is getest, met welke gegevens er is getest en wat de bevindingen zijn. Tenslotte wordt aangegeven of er verbetermaatregelen moeten worden opgenomen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 60 van 84
5.5 Procedure Communicatie over beveiliging 5.5.1 Inleiding De inhoud van deze procedure is vertrouwelijk maar dient bekend te zijn bij alle medewerker(s) van de afdeling Publiekszaken. 5.5.2 Doel Het vastleggen van de communicatie rond het beveiligingsproces. 5.5.3 Definitie De procedure voorziet in het vastleggen van de communicatie rond het beveiligingsproces. Communicatie over het onderwerp informatiebeveiliging kan plaats vinden in twee situaties. beveiliging als onderwerp op het periodieke werkoverleg. beveiligingsonderwerpen bij individuele gesprekken. 5.5.4 Verantwoordelijkheid Periodiek werkoverleg De leidinggevende draagt zorg dat op het periodieke werkoverleg de gelegenheid wordt geboden om over het onderwerp beveiliging te spreken. Het onderwerp wordt hetzij op initiatief van de leidinggevende, hetzij op verzoek van één van de medewerkers van de afdeling Publiekszaken op de agenda geplaatst. Beveiliging bij individuele gesprekken Iedere medewerker wordt in de gelegenheid gesteld om beveiligingsonderwerpen te bespreken waarvan de inhoud vertrouwelijk of delicaat is. De
aangewezen gesprekspartners daarvoor zijn: De leidinggevende. Het afdelingshoofd. Een vertrouwensmedewerker (op uitnodiging van de melder).
Beveiliging bij individuele functioneringsgesprekken Iedere medewerker heeft met zijn leidinggevende minimaal een keer per jaar een functioneringsgesprek. Tijdens het gesprek komt in ieder geval aan de orde: De beveiligingsaspecten van het werk De privacyaspecten van het werk Dit beveiligingsinformatieplan GBA wordt besproken en getoetst op actuele kennis bij de medewerker. Daarnaast wordt ook het Privacy Handboek GBA besproken en getoetst. De bovengenoemde punten worden verwerkt in het functioneringsgespreksverslag door de leidinggevende. 5.5.5 Actualiteit Het hoofd Publiekszaken is verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, leidt dit tot de in hoofdstuk 1.7 beschreven goedkeuringsprocedure.
Informatiebeveiligingsplan GBA Waalwijk
pagina 61 van 84
5.5.6 Uitvoering Periodiek werkoverleg 1. Onderwerpen die aan de orde kunnen komen zijn (niet limitatief): De functionaliteit van de beveiligingsprocedures. Tekortkomingen, aanpassingen en adviezen op het gebied van regelgeving. Attenderen op ongewenste situaties. Beveiligingstekortkomingen in operationele handelingen. Gevaarlijk of ongewenst gedrag van medewerkers. 2. De verslaglegging van de beveiligingsonderwerpen welke zijn besproken tijdens het werkoverleg worden toegezonden aan en bewaard door het hoofd Publiekszaken. Beveiliging bij individuele gesprekken 1. De medewerker kan in eerste instantie terecht bij zijn of haar direct leidinggevende. Daarnaast kan ook rechtstreeks contact worden opgenomen met het hoofd Publiekszaken. Deze zijn gehouden de vertrouwelijk verstrekte informatie ook als zodanig te behandelen. 2. Vrijwillig verstrekte informatie mag nimmer leiden tot repercussie op de informatie verstrekkende medewerker. 3. De direct leidinggevende beoordeelt de verkregen informatie en bespreekt deze informatie zo mogelijk met het afdelingshoofd. De informatie en de verstrekker worden daarbij zo deugdelijk mogelijk anoniem gemaakt. 4. Indien de direct leidinggevende de informatie niet kan of mag bespreken met het hoofd Publiekszaken zoekt de eerste naar een gesprek met een vertrouwensmedewerker. 5. Individueel verkregen informatie wordt ook op individuele basis teruggekoppeld met de informatie verstrekkende medewerker. 6. De direct leidinggevende of andere genoemde medewerkers die vertrouwelijke informatie ontvangen handelen naar de aard en inhoud van die informatie.
Informatiebeveiligingsplan GBA Waalwijk
pagina 62 van 84
5.6 Procedure Gegevensverwerking 5.6.1 Algemeen De activiteiten binnen de gegevensverwerking zijn met name gericht op de juistheid, volledigheid, tijdigheid en betrouwbaarheid van de gegevens in de GBA. Eén van de uitgangspunten van het beheer is de kwaliteit van de in de GBA opgenomen gegevens. Deze kwaliteit moet worden bewaakt. De verwerking van gegevens is vrij strak voorgeschreven door de Minister van Binnenlandse Zaken in de handleiding uitvoeringsprocedures (HUP). Een belangrijk instrument om de kwaliteit van de gegevens in de GBA te controleren is de burger zelf. Zie hiervoor de procedure naleving inzagerecht (= eis 1.3 in het Handboek Privacy GBA 2008). Ten aanzien van de kwaliteit van de GBA is inmiddels wettelijk vastgelegd dat elke gemeente eens in de drie jaar een verplichte kwaliteitsaudit zal moeten ondergaan. 5.6.2 Doel Een efficiënt werkende organisatie met werkwijzen basisadministratie van hoge duurzame kwaliteit nastreeft.
c.q.
procedures
die
een
5.6.3 Verantwoordelijkheid De gegevensbeheerder is verantwoordelijk voor de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de gemeentelijke basisadministratie persoonsgegevens. 5.6.4 Bevoegdheden Bevoegd tot het muteren en corrigeren van gegevens in de GBA zijn de senior medewerkers, de medewerkers publiekszaken en de allround medewerkers publieksbalie. Via de toegekende autorisaties zijn deze personen geautoriseerd. De medewerkers publieksbalie hebben alleen een raadpleeg-autorisatie. Zij muteren via de reisdocumentenmodule wel de categorie reisdocumenten op de persoonslijst. 5.6.5 Wijze van uitvoering Stap 1:
De aangifte c.q. aangeboden mutatie wordt vooraf gecontroleerd op juistheid, volledigheid en betrouwbaarheid. Als aan één van deze punten niet wordt voldaan, wordt de aangifte vóór de verwerking eerst compleet gemaakt. Stap 2: De daartoe bevoegde gegevensverwerker voert, na de controle vooraf, de mutatie binnen de daarvoor aangegeven termijn uit. Na mutatie zet hij/zij de datum van de mutatie en zijn/haar paraaf op het brondocument. Stap 3: De mutatie wordt door een andere gegevensverwerker gecontroleerd. Deze plaatst na de controle de datum van de controle en zijn/haar paraaf op het brondocument. Mutatie en controle vinden zoveel mogelijk op dezelfde dag plaats. Stap 4: Indien de mutatie niet correct is uitgevoerd, wordt deze teruggekoppeld met degene die de mutatie heeft uitgevoerd. Stap 5: De foutieve mutatie wordt gecorrigeerd. De gegevensverwerker die corrigeert plaatst wederom de datum van de correctie en zijn/haar paraaf op het brondocument. Stap 6: De correctie wordt door een andere gegevensverwerker gecontroleerd, waarna weer de datum van de controle en de paraaf worden geplaatst. Stap 7: Bij twijfel over de juiste manier van muteren wordt de mutatie altijd voorgelegd aan de gegevensbeheerder Stap 8: Het brondocument wordt voorlopig gearchiveerd in de weekcyclus en na één week in het daarvoor bestemde dossier. De gegevensbeheerder stelt een meer gespecificeerde uitwerking van de dagelijkse gegevensverwerking op.
Informatiebeveiligingsplan GBA Waalwijk
pagina 63 van 84
5.6.6 Bevestiging (fiattering) ingevoerde mutaties Het toepassingssysteem (van GetronicsPinkRoccade) kent niet de mogelijkheid om de ingevoerde mutaties, na controle, vrij te geven ter verwerking in de basisadministratie. Uitgevoerde mutaties worden meteen doorverwerkt in de persoonslijst. Vanwege deze omissie worden de mutaties dezelfde dag nog gecontroleerd en eventueel gecorrigeerd. 5.6.7 Toetsing. Elke mutatie wordt door het systeem vastgelegd. T.b.v. een mutatiereconstructie is in de mutatieberichtgeving een protocol opgesteld om alle dagelijkse mutaties (m.u.v. de spontane berichtgeving n.a.v. mutaties) op een alternatief medium te plaatsen. Voor een exacte beschrijving van dit protocol zie hoofdstuk 5.3 van dit Informatiebeveiligingsplan GBA. 5.6.8 Controleprogramma’s Tweemaal per jaar worden de volgende controleprogramma’s gedraaid. De resultaten hiervan worden schriftelijk gemeld aan de beheerder. BZSBX330 Controleren personen: controleverslag persoonsgegevens en bijwerken/ controleren gerelateerden Lijst 077 Huwelijk is voltrokken in een opgeheven gemeente en ontbonden in de nieuwe gemeente. Registergemeente is niet de opgeheven gemeente. Lijst 126 Adresaangifte = I en betrokkene is géén 16 jaar. Lijst 127 Adresaangifte = G en betrokkene is meerderjarig. Lijst 128 Adresaangifte is P en betrokkene heeft géén categorie 05. Lijst 136 Gegevens niet ontleend aan een GBA-brondocument. Lijst 411 Geboren in het buitenland en géén immigratiegegevens in categorie 08/58. Lijst 895 “P” niet geplaatst in categorie 07. Lijst 940 Gezagsvoorziening niet ontleend aan een kennisgeving gezagsregister. Incidenteel wordt d.m.v. de variabele uitvoer andere controlemogelijkheden gedefinieerd om zodoende onvolledigheden/fouten in de bevolkingsadministratie op te sporen. Het resultaat van deze nasporingen worden door de gegevensbeheerder schriftelijk aan de beheerder gemeld. Daarnaast biedt het Agentschap BPR vanaf augustus 2013 toegang tot de digitale kwaliteitsmonitor. (https://kwaliteitsmonitor.gem.bprstelsels.nl/portal/bpr/monitorgegevens) Bij de monitor Gegevens worden (mogelijke) fouten in ons gegevensbestand gepresenteerd. Het resultaat van deze fouten wordt schriftelijk aan de beheerder gemeld. 5.6.9 Vervanging De vervanging van de in deze procedure genoemde functionarissen is geregeld in bijlage 1 van de beheerregeling. 5.6.10 Verantwoordelijkheid en rapportage De gegevensbeheerder is verantwoordelijk voor de procedure Gegevensverwerking. Hij controleert periodiek de uitvoering en werking van de procedure, controleert of de procedure door de gegevensverwerkers wordt nageleefd en rapporteert dit jaarlijks schriftelijk aan de beheerder van de bevolkingsadministratie. 5.6.11 Terugmeldingen Zie hoofdstuk 5.7 van dit Informatiebeveiligingsplan
Informatiebeveiligingsplan GBA Waalwijk
pagina 64 van 84
5.7 Procedure Terugmeldingen 5.7.1 Inleiding De inhoud van deze procedure is vertrouwelijk maar moet bekend zijn bij alle medewerkers van de afdeling Publiekszaken. 5.7.2 Doel De procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het verwerken van inhoudelijke terugmeldingen van zowel buitengemeentelijke als binnengemeentelijke afnemers en derden. 5.7.3 Definitie De GBA is dé basisadministratie van persoonsgegevens voor de gehele (semi-)overheid (en een beperkte groep daarbuiten), waarbij een groot aantal afnemers verplicht gebruik maakt van het netwerk. Deze status vereist dat de lat zeer hoog wordt gelegd waar het gaat om de kwaliteit van de gegevens en dat de nodige maatregelen worden getroffen om de kwaliteit op peil te houden. Ook een kwalitatief hoogwaardig bestand als de GBA is niet perfect. Het kan zijn dat een gebruiker constateert of vermoedt dat een gegeven in de GBA niet of niet meer waarheidsgetrouw is. Als de gebruiker gerede twijfel heeft moet hij een terugmelding doen aan de afdeling Publiekszaken van de gemeente als houder van de GBA. Krachtens de per 1 april 2007 gewijzigde Wet GBA worden stapsgewijs tot 1 januari 2010 alle afnemers aangewezen om bij gerede twijfel terug te melden. De
wettelijke basis voor deze procedure is: Wet GBA: artikel 62 Besluit GBA: artikel 62 en 63 Handleiding Operationele Procedures: Hoofdstuk Terugmeldingsverplichting LO 3.5 : Bijlage D Terugmeldvoorziening 5.7.4 Terugmelden d.m.v. een mededeling
Het kan voorkomen dat de gegevens in de GBA niet overeenkomen met gegevens waarover een afnemer (zwel buitengemeentelijk als binnengemeentelijk) of derde beschikt. Ingevolge artikel 62 Wet GBA moet een afnemer die gerede twijfel heeft over de juistheid van een authentiek gegeven hiervan mededeling (= terugmelden) doen aan het college. Terugmelden: Afnemer – Terugmeldvoorziening (TMV) – Publiekszaken Gemeente Met de aanwijzing van de GBA als Basisregistratie is er een nieuw proces van terugmelden tussen afnemers en gemeenten. De TMV fungeert als schakel tussen de terugmeldende afnemer en de gemeente aan welke de terugmelding is gericht. De TMV is een centrale functionaliteit in het GBA-stelsel en is daarom technisch geregeld als onderdeel van GBA-Verstrekkingen (GBA-V). De TMV maakt ook gebruik van de gegevens uit GBA-V, bijvoorbeeld door het routeren van berichten. Functioneel gezien is de TMV echter een afzonderlijke voorziening die los staat van GBA-V. Mededelingen van de TMV komen binnen via het GBA-berichtenverkeer en worden ook zo afgedaan. De belangrijkste functies van de TMV voor afnemers zijn: Het doen van een terugmelding. De afnemer krijgt een respons met daarin de unieke identificatie van het dossier. Het inzien van dossiers van eerdere terugmeldingen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 65 van 84
Terugmelden: Afnemer – Op papier – Publiekszaken Gemeente Naast de digitale terugmeldingen kunnen er ook papieren terugmeldingen komen. Deze mededeling bevat ten minste de naam van de afnemer of derde, persoonsgegevens van de te onderzoeken persoon en het gegeven dat onderzocht moet worden. 5.7.5 Uitvoering De terugmeldingen (= mededelingen) worden door de gegevensverwerker, die de onderzoeken doet, afgewerkt conform de procedure “Adresonderzoek en de afwikkeling”. Na de afronding van het onderzoek stuurt de gegevensverwerker een kennisgeving met de resultaten van het onderzoek aan de betreffende afnemer of derde. Dit kan door middel van een brief, een geverifieerd e-mailadres of door het afhandelen van de terugmelding in de terugmeldvoorziening (TMV). 5.7.6 Termijnen In LO3.5, hoofdstuk Terugmeldvoorziening, worden géén afhandeltermijnen genoemd. De mededelingen die via de Terugmeldvoorziening binnen komen, worden afgehandeld binnen de termijnen genoemd in de procedure Adresonderzoek en de afwikkeling. 5.7.7 Controle De gegevensverwerker, die niet de onderzoeken doet, controleert periodiek een aantal willekeurige terugmeldingen en toetst deze aan de procedure Terugmeldingen en de procedure Adresonderzoek en de afwikkeling. Deze gegevensverwerker rapporteert zijn bevindingen aan het hoofd Publiekszaken. 5.7.8 Vervanging De vervanging van de in deze procedure genoemde functionarissen is geregeld in bijlage 1 van de beheerregeling.
Informatiebeveiligingsplan GBA Waalwijk
pagina 66 van 84
5.8 Procedure Adresonderzoek en de afwikkeling 5.8.1 Algemeen We krijgen van een belanghebbende een schriftelijk signaal dat een ingezetene niet meer op het door hem opgegeven adres woont. Het verzoek om een onderzoek kan ook binnenkomen via het GBA-berichtenverkeer. De Terugmeldvoorziening (TMV) kan d.m.v. van een “Qv01”-bericht daarom vragen. Zie hiervoor Logisch Ontwerp (L.O.) 3.5 van 1 april 2007. Via de TMV kunnen alle afnemers om een onderzoek vragen. Het Qv01-bericht moet als een schriftelijk signaal worden gezien. Belanghebbenden kunnen zijn: a. een buiten- of binnengemeentelijke afnemer; b. een verplichte of bijzondere derde; c. op het adres (in)wonende perso(o)n(en); d. nieuwe bewoner(s) die op dat adres komt (komen) wonen. Een signaal kan zijn: a. het schriftelijke verzoek van een afnemer of derde om bij betrokkene een (nader) adresonderzoek te doen; b. de schriftelijke aangifte van een medebewoner dat betrokkene niet meer op dat adres woont; c. de (vestigings)aangifte op dat adres van de nieuwe bewoner(s) met de aantekening dat de huidige (= oude) bewoner weg is. 5.8.2 Actie a. Nagaan d.m.v. diverse raadpleegfuncties of er actie ondernomen moet worden. Zo ja, dan: b. Het adresgegeven van betrokkene wordt d.m.v. “proceduregegevens” in onderzoek geplaatst en indien er sprake is van een terugmelding wordt de terugmeldvoorziening gevuld (zie 5.7 hiervoor); c. Aantekenvak 01.16 wordt met de datum (jjjjmmdd) aanvang onderzoek en beknopte relevante gegevens gevuld; d. Van dit aantekenvak wordt een schermafdruk gemaakt t.b.v. de papieren dossiervorming; e. Het dossier (aangehaakt aan de persoonslijst) wordt met dezelfde aantekening gevuld; f. Er wordt een digitale zaak aangemaakt in het documentair informatiesysteem; g. Op de papieren schermafdruk wordt een verwijzing naar de digitale zaak vermeld; h. Blijkt uit het signaal dat een nader adres binnen de gemeente bekend is, wordt getracht om met betrokkene te contacten om hem te motiveren om aangifte te doen; i. Blijkt uit het signaal dat een nader adres in een andere gemeente bekend is, wordt deze gemeente gevraagd (d.m.v. uittreksel 069) om ter plaatse een adresonderzoek te doen. Een kopie van dit verzoek is onderdeel van het (papieren) dossier; j. Zijn er geen nadere gegevens bekend, dan familie proberen te achterhalen en informatie proberen los te krijgen (Let op de leeftijden van ouders !!!). Uittreksel 070 kan gebruikt worden voor info uit een andere gemeente; k. Het dossier krijgt een termijn van twee weken en wordt alfabetisch opgeborgen in de map “Onderzoek”. l. We ondernemen de nodige stappen om een nieuw adres te weten te komen. (bijv. info bij nieuwe bewoners, ouder(s), oude aangifte, woningcorperatie, inkijk in SUWInet van het UWV, etc.)
Informatiebeveiligingsplan GBA Waalwijk
pagina 67 van 84
5.8.3 Gevolg a. Betrokkene doet aangifte van adreswijziging binnen de gemeente of aangifte van emigratie: Onderzoek via proceduregegevens beëindigen. Verhuizing muteren. Via bijzondere actualiseringen in cat. 58 “080000” wijzigen in “580000” en onderzoeksdossier aan de aangifte toevoegen. b. Betrokkene doet aangifte van vestiging in een andere gemeente. Dit wordt zichtbaar d.m.v. een ingekomen bericht “Ii01 nieuw”. Aantekening maken in het digitale onderzoeksdossier. Als de verhuiscyclus afgewerkt is, controleren of categorie 21 in onderzoek staat en zo ja, verwijderen. Adresonderzoek in categorie 08 van de aangehaakte pl beëindigen per verhuisdatum en onderzoeksdossier opbergen in de map “vertrek naar andere gemeente”. De digitale zaak wordt op de stap “afgehandeld” gezet. c. Betrokkene doet niets. 5.8.4 Actie a. Als betrokkene niet gereageerd heeft binnen de termijn op het onderzoeksdossier vermeldt en we hebben geen nader (= nieuw) adres kunnen traceren, wordt een voornemensprocedure gestart met de zinsnede dat wij betrokkene naar onbekend gaan emigreren als we binnen twee weken niets vernomen hebben. b. Een kopie van het voornemen sturen naar betrokkene als we een “vermoedelijk” ander (= nieuw) adres hebben. 5.8.5 Gevolg a. Betrokken doet alsnog aangifte van adreswijziging binnen de gemeente of aangifte van emigratie: zie onder punt 3.a. b. Betrokkene doet als nog aangifte van vestiging in een andere gemeente: zie punt 3.b. c. Betrokkene doet niets. 5.8.6 Actie a. Heeft betrokkene (of een andere gemeente) niet gereageerd binnen de termijn genoemd in het voornemen, nemen we het besluit om betrokkene met ingang van de datum genoemd in het voornemen te emigreren naar onbekend. Het besluit wordt verzonden naar het adres, waar betrokkene in de basisadministratie is opgenomen. b. Een kopie van het besluit sturen we ook naar betrokkene als we een “vermoedelijk” ander (= nieuw) adres hebben. c. Het besluit wordt (met terugwerkende) kracht uitgevoerd d.m.v. onderzoek via proceduregegevens beëindigen, emigratie muteren, via bijzondere actualiseringen in cat. 58 “080000” wijzigen in “580000”. d. Het dossier (aangehaakt aan de persoonslijst) wordt verwijderd; e. Het aantekenveld 01 16 blijft bewaard; f. Het onderzoeksdossier, voornemen, besluit en andere documenten zijn samengevoegd tot één digitaal dossier. (“emigratie onbekend”). g. De emigratie onbekend vermelden op het “overzicht onbekende emigraties”. h. De digitale zaak krijgt de behandelstap “afgehandeld” nadat de bezwaartermijn is verstreken; i. Het Qv01-bericht beantwoorden d.m.v. Qs01 bericht en beiden berichten toevoegen aan het papieren dossier (is de terugmeldvoorziening). 5.8.7. Doorlooptijden Binnen een week na het bekend worden van een signaal, bijvoorbeeld van deurwaarder, belastingdienst en dergelijke wordt het onderzoek gestart. Binnen twee weken wordt informatie ingewonnen. Vervolgens wordt maximaal vier weken gewacht op reactie. Na binnenkomst van een reactie wordt binnen een week opnieuw actie ondernemen.
Informatiebeveiligingsplan GBA Waalwijk
pagina 68 van 84
Als een voornemen wordt gestuurd wordt een termijn van twee weken gegeven waarbinnen gereageerd kan worden. Daarna volgt het besluit. Bij een terugmelding wordt de geschatte afhandeldatum ingegeven in de terugmeldvoorziening. 5.8.8 Bekendmaking besluit Voornemens en besluiten, die overigens aangetekend verstuurd worden, komen meestal terug omdat betrokkene niet meer op dat adres woonachtig is (en derhalve het voor hem aangetekend schrijven niet in ontvangst kan nemen of niet op het postkantoor afhaalt). Zodra wij de onbestelbare brieven terug krijgen, wordt op de envelop de datum van terugontvangst vermeld en het overzicht wordt bijgewerkt. Ingevolge artikel 3.41 van de Algemene wet bestuursrecht (AWB) dient elk besluit aan betrokkene bekend gemaakt te worden. Ingevolge jurisprudentie is het onbestelbaar, teruggekomen besluit geen bekendmaking ingevolge de AWB. Eénmaal per maand/twee maanden (afhankelijk van het aantal) publiceren in de wekelijkse nieuwsbrief via de gemeentelijke internetpagina www.waalwijk.nl. Een kopie van de publicatie wordt aan het digitale dossier van de betrokkene toegevoegd. 5.8.9 Te gebruiken documenten In Word staan de hieronder genoemde documenten die in de procedure gebruikt kunnen worden. Word\PUB\PUBZKN\GBA groep\Onderzoek\brieven onderzoek: - ambtshalve bvh besluit - ambtshalve bvh voornemen - emigratie onbekend besluit - emigratie onbekend voornemen - kopie gerelateerden - onderhandse brief - ontruiming (emigr onbekend) besluit - ontruiming (emigr onbekend) voornemen - vooronderzoek Word\PUB\PUBZKN\GBA groep\Onderzoek: overzicht Word\PUB\PUBZKN\GBA groep\Onderzoek: publicatie Maasroute
Informatiebeveiligingsplan GBA Waalwijk
pagina 69 van 84
5.9 Procedure Rapportage van incidenten
5.9.1 Inleiding De inhoud van deze procedure is vertrouwelijk maar dient bekend te zijn aan alle medewerkers betrokken bij de gegevensverwerking van de GBA (zowel de raadplegers als de muteerders). 5.9.2.
Doel
De procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het melden en registreren van (bijna) incidenten met het systeem. 5.9.3.
Definitie
Een incident is ieder voorval dat of iedere gebeurtenis die schade toebrengt of kan toebrengen aan de beveiliging van het systeem en iedere inbreuk op het gebied van beschikbaarheid, betrouwbaarheid en/of vertrouwelijkheid. Schending van de geheimhouding van gegevens is een voorbeeld van een dergelijk incident. Een handeling die in strijd is met de beveiligingsprocedures van de gemeente Waalwijk is ook een beveiligingsincident. 5.9.4. Proceseigenaar De proceseigenaar is de kwaliteitsmedewerker Publiekszaken. 5.9.5. Verantwoordelijkheid In het navolgende wordt een onderscheid gemaakt tussen incidenten die te maken hebben met incidenten waarbij iemand inbreuk maakt op het gebied van beveiliging, beschikbaarheid, betrouwbaarheid en/of vertrouwelijkheid en incidenten die anderszins inbreuk maken op de beveiliging, beschikbaarheid, betrouwbaarheid en/of vertrouwelijkheid. Iedere gebruiker van het systeem, die direct of indirect kennis draagt of krijgt van een incident of bijna incident als hier omschreven, is verplicht dit te melden. Een (bijna) incident dat te maken heeft met een persoon die inbreuk maakt wordt gemeld aan de integriteitcoördinator van de gemeente Waalwijk en/of de leidinggevende. De leidinggevende schakelt vervolgens de integriteitcoördinator in. Een incident dat anderszins te maken heeft met een gebeurtenis dat schade toebrengt of kan brengen aan de beveiliging, beschikbaarheid , betrouwbaarheid en/of vertrouwelijkheid wordt gemeld aan de kwaliteitsmedewerker Publiekszaken of aan de leidinggevende. De leidinggevende schakelt vervolgens de kwaliteitsmedewerker Publiekszaken in. De kwaliteitsmedewerker Publiekszaken stelt het hoofd van de afdeling Publiekszaken en het hoofd van betrokken afdelingen op de hoogte.
Informatiebeveiligingsplan GBA Waalwijk
pagina 70 van 84
Voor alle in deze procedure voorkomende functies is in de Bijlage bij de beheerregeling de vervanging vastgelegd. De functie van integriteitcoördinator valt buiten de beheerregeling GBA en is op gemeentelijk niveau vastgelegd. 5.9.6. Actualiteit De kwaliteitsmedewerker Publiekszaken, verantwoordelijk voor het up-to-date houden van deze procedure. Indien de procedure inhoudelijk wijzigt, worden alle betrokken hiervan op de hoogte gebracht. 5.9.7.
Uitvoering
1. Elke medewerker van de gemeente Waalwijk (zowel intern als extern) is verplicht een vermoedelijke integriteitschending / beveiligingsincident voor wat betreft de handelingen van een persoon binnen een werkdag te melden aan de integriteitcoördinator of zijn direct leidinggevende. Elke medewerker van de gemeente Waalwijk (zowel intern als extern) is verplicht een vermoedelijk beveiligingsincident voor wat betreft een gebeurtenis anders dan van een persoon te melden aan de kwaliteitsmedewerker Publiekszaken of zijn direct leidinggevende. De medewerkers van de gemeente Waalwijk zijn eveneens verplicht zwakke plekken in de beveiliging (of het vermoeden daarvan) te melden bij de kwaliteitsmedewerker Publiekszaken. Een dergelijke verplichting is erop gericht tekortkomingen in de beveiliging zo snel mogelijk te ontdekken en te kunnen oplossen. 2. De integriteitcoördinator onderzoekt een integriteitschending conform het onderzoeksprotocol bij integriteitmeldingen van de gemeente Waalwijk. De kwaliteitsmedewerker Publiekszaken onderzoekt binnen een werkdag het (bijna) incident in de andere gevallen. Bij
dit onderzoek wordt aandacht besteed aan de volgende aspecten: Wat is de aard van het (bijna) incident. Wat is de oorzaak dat dit (bijna) incident heeft plaatsgevonden. Is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures. Is het (bijna) incident verwijtbaar. Is een eventuele tekortkoming in de beveiliging hersteld. Kan dit (bijna) incident nogmaals optreden. Welke acties moeten worden getroffen om herhaling te voorkomen.
3. De integriteitcoördinator rapporteert conform het onderzoeksprotocol bij integriteitmeldingen van de gemeente Waalwijk. De kwaliteitsmedewerker Publiekszaken stelt van het onderzoek een verslag op en rapporteert dit aan de betrokken leidinggevenden. 4. In geval van overtreding van de beveiligingsvoorschriften kunnen er door de gemeente Waalwijk disciplinaire maatregelen getroffen worden.
Informatiebeveiligingsplan GBA Waalwijk
pagina 71 van 84
Onder ”disciplinaire maatregelen” wordt verstaan: formele procedures die zijn opgesteld voor medewerkers die opzettelijk het beveiligingsbeleid of de beveiligingsprocedures van de gemeente doorbreken. 5. Aan degene die de melding heeft gedaan wordt een terugkoppeling gedaan, binnen een week nadat de melding is afgehandeld (voor zover de privacy het toelaat). 5.9.8. Verantwoording Minimaal een keer per jaar wordt door de kwaliteitsmedewerker publiekszaken een rapportage opgemaakt over alle in deze procedure genoemde incidenten. De rapportage wordt ondertekend door de informatiebeheerder (het hoofd van de afdeling Publiekszaken).
Informatiebeveiligingsplan GBA Waalwijk
pagina 72 van 84
5.10 Beheerregeling GBA HOOFDSTUK 1
ALGEMENE BEPALINGEN
Artikel 1 Deze regeling verstaat onder: de Wet: de Wet gemeentelijke basisadministratie persoonsgegevens (Wet GBA) (Stb. 1994, 494). bevroren bevolkingsregister: de registers die zijn ingericht op basis van de Wet op de bevolkings- en verblijfsregisters en het Besluit bevolkingsboekhouding en die ingevolge de intrekking van die wet en dat besluit per 1 oktober 1994 niet meer worden bijgehouden. audit: een controle op de integriteit van de persoonsgegevens welke wordt uitgevoerd door een namens de Minister van Binnenlandse Zaken en Koninkrijkrelaties aangewezen auditinstelling. kwaliteitsproef: een controle op de inhoud van gegevenselementen aan de hand van de daaraan ten grondslag liggende brondocumenten en procedures, over een representatief aantal persoonslijsten. foutverslag: het automatisch door het systeem aangemaakte overzicht van fouten die ontdekt zijn in de over het netwerk binnenkomende berichten. foutenlijst: het door het systeem aangemaakte overzicht van foutieve elementen op de persoonslijsten die zich in de gemeentelijke basisadministratie bevinden. autorisatie: het binnen de toepassingsprogrammatuur toekennen van het niveau van gebruikersmogelijkheden aan een persoon of afdeling of het binnen de toepassingsprogrammatuur toekennen van het niveau van gegevensverstrekking aan afnemers en derden. verantwoordelijke: degene die zeggenschap heeft over de basisadministratie zijnde het college. beheerder: de functionaris die onder verantwoordelijkheid van de verantwoordelijke belast is met de dagelijkse zorg voor de basisadministratie persoonsgegevens. informatiebeheer: het geheel van activiteiten gericht op beleidsvoorbereiding ter zake de gemeentelijke basisadministratie, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures. gegevensbeheer: het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening. systeembeheer: het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem. applicatiebeheer: het geheel van activiteiten gericht op het ondersteunen van het GBAtoepassings-systeem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening.
Informatiebeveiligingsplan GBA Waalwijk
pagina 73 van 84
privacybeheer: het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevene bij het verzamelen en verwerken van gegevens en de informatievoorziening. gegevensverwerking: het ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand. bewerker: degene die ten behoeve van de verantwoordelijke of beheerder persoonsgegevens bewerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen en die geen zeggenschap heeft over de verwerking. beveiligingsbeheer: het geheel aan activiteiten gericht op de controle van de afgesproken beveiligingsactiviteiten en –maatregelen. Artikel 2 Het hoofd van de afdeling Publiekszaken is beheerder van de gemeentelijke basisadministratie persoonsgegevens en in die hoedanigheid informatiebeheerder en privacybeheerder. Hij kan de taak van informatiebeheerder en privacybeheerder geheel of gedeeltelijk mandateren aan een of meer aan hem ondergeschikte ambtenaren. Artikel 3 1. De informatiebeheerder wijst functionarissen aan die worden belast met: a. gegevensbeheer; b. applicatiebeheer; c. gegevensverwerking; d. het namens het college afnemen van de in artikel 36, lid 2, onder sub e van de Wet bedoelde verklaring. 2. Het hoofd van de afdeling HII wijst medewerkers aan die zijn belast met het systeembeheer. Artikel 4 De informatiebeheerder voorziet in: a. een jaarlijkse planning van de beheeractiviteiten; b. een jaarlijkse rapportage aan het college over de bij a. bedoelde planning, waarbij tevens inzicht wordt gegeven in de kerngetallen van de bijhoudingsen beheerprocedures; c. een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 12 bedoelde kwaliteitssteekproef; d. de administratieve beheerprocedures, voorzover hier niet door of bij de Wet is voorzien; e. periodiek overleg tussen hem, de applicatiebeheerder, de privacybeheerder en de gegevensbeheerder; f. halfjaarlijks overleg tussen hem en de systeembeheerder; g. richtlijnen voor de bijhouding van de gemeentelijke basisadministratie persoonsgegevens.
Hoofdstuk 2
HET INFORMATIEBEHEER
Artikel 5 De informatiebeheerder adviseert het college als de verantwoordelijke van de gemeentelijke basisadministratie persoonsgegevens over de navolgende aspecten die voortvloeien uit de gemeentelijke basisadministratie persoonsgegevens, te weten a. persoonsinformatievoorziening; Informatiebeveiligingsplan GBA Waalwijk
pagina 74 van 84
b. c. d. e.
beveiliging; privacy; gegevenskwaliteit; personeelsaangelegenheden.
Artikel 6 De informatiebeheerder beslist; a. over de installatie van nieuwe of gewijzigde versies van het GBAtoepassingssysteem; b. op verzoeken van binnengemeentelijke afnemers tot rechtstreekse toegang tot de gemeentelijke basisadministratie persoonsgegevens; c. op overige verzoeken van binnengemeentelijke afnemers en derden tot het verkrijgen van gegevens uit de gemeentelijke basisadministratie persoonsgegevens; d. over het toekennen van autorisaties. Artikel 7 De informatiebeheerder ziet er op toe dat: a. de in deze regeling opgenomen bepalingen worden nageleefd; b. de behandeling en afhandeling van verzoeken om gegevensverstrekking uit de gemeentelijke basisadministratie persoonsgegevens geschiedt volgens de bepalingen uit de Wet en de Verordening gemeentelijke basisadministratie persoonsgegevens; c. de bij of krachtens de Wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding, alsmede de beveiliging van de gemeentelijke basisadministratie persoonsgegevens worden nageleefd; d. dat alle in artikel 3 genoemde functionarissen, alsmede de systeembeheerder op de hoogte zijn van de installatie van nieuwe of gewijzigde versies van het GBA-toepassingssysteem en van de gevolgen van deze installatie; e. de beveiligingsvoorschriften die voortvloeien uit de wet en het beveiligingsplan worden nageleefd. Artikel 8 De informatiebeheerder, of een door hem aan te wijzen functionaris opgesomd in artikel 3, neemt deel aan buitengemeentelijk overleg inzake onderwerpen die het beheer van de gemeentelijke basisadministratie persoonsgegevens aangaan.
Hoofdstuk 3
HET GEGEVENSBEHEER
Artikel 9 De gegevensbeheerder is verantwoordelijk voor: a. de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de gemeentelijke basisadministratie persoonsgegevens; b. het verwerken van complexe mutaties en correcties met betrekking tot de gemeentelijke basisadministratie persoonsgegevens; c. het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van persoonsgegevens; d. het beheer van documentatie op het gebied van de Wet en overige regelgeving op het gebied van de gemeentelijke basisadministratie persoonsgegevens; e. de communicatie met de afnemers en andere houders van gemeentelijke basisadministraties over gegevensverwerking. Informatiebeveiligingsplan GBA Waalwijk
pagina 75 van 84
Artikel 10 De gegevensbeheerder voorziet in: a. de behandeling van wijzigingsverzoeken als bedoeld in artikel 81, 82 en 83 van de Wet; b. de controlewerkzaamheden ter waarborging van de kwaliteit van de gemeentelijke basisadministratie persoonsgegevens. Artikel 11 De gegevensbeheerder is bevoegd in overleg met de applicatiebeheerder vanuit de in artikel 9 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de gemeentelijke basisadministratie persoonsgegevens. Artikel 12 Periodiek wordt de inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen onderworpen aan een audit door een namens de Minister van Binnenlandse Zaken en Koninkrijkrelaties aangewezen auditinstelling. De gegevensbeheerder voorziet in een doorlopende kwaliteitsproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde audit. Artikel 13 De gegevensbeheerder neemt deel aan het in artikel 4, onder e genoemde overleg.
Hoofdstuk 4
HET SYSTEEMBEHEER
Artikel 14 De systeembeheerder is verantwoordelijk voor het technisch onderhoud van het toepassingssysteem. Artikel 15 De systeembeheerder voorziet in: a. de fysieke beveiliging van het toepassingssysteem; b. een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de GBAapparatuur is opgesteld; c. de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem; d. de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen. Artikel 16 De systeembeheerder is bevoegd: a. direct maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is; hij is verplicht achteraf ter zake te rapporteren aan de informatiebeheerder; b. aanwijzingen te geven over: -
beheer toepassingssysteem;
-
beheer van bestanden;
Informatiebeveiligingsplan GBA Waalwijk
pagina 76 van 84
-
reconstructiemaatregelen.
Artikel 17 De systeembeheerder neemt deel aan het in artikel 4, onder f genoemde overleg.
Hoofdstuk 5
HET APPLICATIEBEHEER
Artikel 18 De applicatiebeheerder is verantwoordelijk voor: a. de ondersteuning bij het gebruik van het toepassingssysteem; b. het tijdig opschonen van de relevante bestanden in de database; c. de technische afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, alsmede de systematische gegevensverstrekking die plaatsvindt op basis van de door het college vastgestelde procedurebeschrijving voor de gemeentelijke basisregistratie; d. het beheer van de tabellen van de gemeentelijke basisadministratie persoonsgegevens; e. het beheer van de gebruikersdocumenten. Artikel 19 De applicatiebeheerder voorziet in: a. een planning van periodieke gegevensverstrekking die op basis van het autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt gedaan; b. de implementatie van de door de beheerder toegekende autorisatieniveaus van actualiseringen en raadplegingen aan de gegevensverwerkers, de gegevensbeheerder, de privacybeheerder en de informatiebeheerder; c. de implementatie van de door de beheerder toegekende autorisatieniveaus van raadplegingen van medewerkers van binnengemeentelijke afnemers; d. aanpassing of blokkering van de autorisatie van de medewerker bij functiewijziging, ontslag of vertrek; e. de bijhouding van een verzameling van de autorisaties, die overeenkomstig artikel 6 door de informatiebeheerder zijn toegekend; f.
het testen en evalueren van nieuwe versies van het toepassingssysteem, alsmede het testen en evalueren van nieuwe apparatuur;
g. de beoordeling van de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem; h. de bijhouding van een verzameling van alle problemen en klachten, die bij het gebruik van het toepassingssysteem ontstaan en tracht eventueel door inschakeling van de systeembeheerder of een derde, voor een oplossing te zorgen; i.
de voorlichting aan de in artikel 3 genoemde functionarissen met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;
j.
de coördinatie van de werkzaamheden met betrekking tot het toepassingssysteem in geval van uitwijk in overleg met de systeembeheerder;
k. de vormgeving en inhoud van documenten, die rechtstreeks aan de gemeentelijke basisadministratie persoonsgegevens worden ontleend;
Informatiebeveiligingsplan GBA Waalwijk
pagina 77 van 84
l.
de afhandeling van verzoeken omtrent managementgegevens;
Artikel 20 De applicatiebeheerder is bevoegd: a. gegevensverwerkers en de medewerkers van externe afdelingen/clusters die direct toegang hebben tot de basisadministratie persoonsgegevens aanwijzingen te geven over het gebruik van het toepassingssysteem; b. over het gebruik van de basisadministratie persoonsgegevens gedragsregels op te stellen. Artikel 21 De applicatiebeheerder beslist –na overleg met de informatiebeheerder en de systeembeheerder- over gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen beschreven in de procedure uitwijk. Artikel 22 De applicatiebeheerder ziet erop toe dat voorgeschreven procedures uit het beveiligingsplan worden nageleefd. Artikel 23 De applicatiebeheerder neemt deel aan: a. het overleg genoemd in artikel 4, onder e en f; b. het externe gebruikersoverleg.
Hoofdstuk 6
HET PRIVACYBEHEER
Artikel 24 De privacybeheerder is verantwoordelijk voor: a. de inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, alsmede de systematische gegevensverstrekking die plaatsvindt op grond van de door het college vastgestelde Reglement voor de gemeentelijke basisregistratie persoonsgegevens; b. het dagelijkse toezicht op de naleving van de privacyvoorschriften die voortvloeien uit de Wet en de Wet bescherming persoonsgegevens met betrekking tot de afdeling Burgerzaken. Artikel 25 De privacybeheerder voorziet in: a. de afhandeling van alle verzoeken om inzage overeenkomstig artikel 79 van de Wet (inzage); b. de behandeling van alle verzoeken om geheimhouding die op basis van artikel 102 lid 1 en doet eventueel de privacytoets van art. 102 lid 2 van de Wet; c. de afhandeling van verzoeken om inzage in verstrekkingen aan afnemers en derden. Artikel 26 De privacybeheerder is bevoegd: a. op grond van het in artikel 19 genoemde besluit, alle gebruikers van het toepassingssysteem aanwijzingen te geven;
Informatiebeveiligingsplan GBA Waalwijk
pagina 78 van 84
b. ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de gemeentelijke basisadministratie persoonsgegevens, waarbij de persoonlijke levenssfeer in het geding is. Artikel 27 De privacybeheerder is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen op grond van de Wet en daarbij behorende regelingen, de Wet bescherming persoonsgegevens met betrekking tot de afdeling Publiekszaken.
Hoofdstuk 7
DE GEGEVENSVERWERKING
Artikel 28 De gegevensverwerkers voorzien in: a. het verwerken van de gegevens overeenkomstig de krachtens de Wet, middels het Logisch Ontwerp en de handleiding uitvoeringsprocedures, voorgeschreven wijze, voorzover daartoe door de applicatiebeheerder geautoriseerd; b. het verzamelen van de daarvoor bestemde gegevens; c. de archivering van de brondocumenten op grond waarvan de gegevens zijn verwerkt; d. de behandeling van mutaties; e. de behandeling van het netwerkverkeer uitsluitend voor de verwerking van de taken genoemd onder a; f.
de toetsing van de waarde die aan overgelegde brondocumenten kan worden toegekend aan de hand van artikel 36 van de Wet en zien erop toe dat geen gegevens worden verwerkt uit documenten waaraan bij of krachtens de wet geen ontleningsstatus is gegeven;
g. de dagelijkse controle van in het toepassingssysteem aangebrachte actualiseringen; h. de kennisgeving aan de geregistreerde voor wat betreft de verwerking van: -
wijziging van het naamgebruik;
-
vervolginschrijving voor zover het betreft een binnengemeentelijke verhuizing en een vervolginschrijving die leidt tot opname in de gemeentelijke basisadministratie persoonsgegevens;
k. de toezending van de complete persoonslijst aan de geregistreerde ingeval van een: -
1e inschrijving in de gemeentelijke basisadministratie persoonsgegevens;
-
een vervolginschrijving uit het buitenland.
Artikel 29 De gegevensverwerkers beslissen op aangiften en verzoekschriften die op grond van de wet worden gedaan met in achtneming van het gestelde in artikel 26 van de Wet en voor zover hier niet op andere wijze in is voorzien.
Informatiebeveiligingsplan GBA Waalwijk
pagina 79 van 84
Hoofdstuk 8 HET BEVEILIGINGSBEHEER Artikel 30 De beveiligingsfunctionaris is verantwoordelijk voor het beheer van de beveiligingsvoorschriften voor de GBA. Artikel 31 De beveiligingsfunctionaris is bevoegd om medewerkers van de afdeling Publiekszaken aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de wet en de beveiligingsvoorschriften voor de GBA. Artikel 32 De beveiligingsfunctionaris ziet er op toe dat beveiligingsvoorschriften die voortvloeien uit de wet en de binnengemeentelijk vastgestelde beveiligingsvoorschriften en de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd. Artikel 33 De beveiligingsfunctionaris adviseert burgemeester en wethouders over: a. de beveiligingsaspecten die uit de wet GBA en de binnengemeentelijke beveiligingsvoorschriften voortvloeien; en b. de fysieke beveiliging in en om de ruimtes waar de hoofdcomputer en de overige componenten voor bijhouding van de GBA staan. Artikel 34 De beveiligingsfunctionaris voorziet jaarlijks in een verslag over de activiteiten inzake het beveiligingsbeheer.
Informatiebeveiligingsplan GBA Waalwijk
pagina 80 van 84
Hoofdstuk 9
SLOTBEPALINGEN
Artikel 35 De in deze regeling opgenomen bepalingen gelden naast de gemeentelijke basisadministratie persoonsgegevens tevens voor het bevroren bevolkingsregister en de in de gemeentelijke basisadministratie aangehaakte gegevens die onder de werkingssfeer van de Wet bescherming persoonsgegevens vallen. Artikel 36 Deze regeling treedt in werking met ingang van de achtste dag na die van de bekendmaking. Artikel 37 Deze regeling wordt aangehaald als Beheerregeling gemeentelijke basisadministratie gemeente Waalwijk. Aldus besloten in de vergadering van het college van Waalwijk …..2013 Het college van Waalwijk, de secretaris,
de burgemeester,
w.g.
w.g.
drs. J. Lagendijk
drs. A.M.P. Kleingeld
Informatiebeveiligingsplan GBA Waalwijk
pagina 81 van 84
Bijlage 1
Aanwijzing van beheerfunctionarissen
Het hoofd van de afdeling Publiekszaken; gelet op artikel 2 en 3 van de Beheerregeling gemeentelijke basisadministratie gemeente Waalwijk van 1 januari 2012; besluit: in te trekken bijlage 1 (aanwijzing van functionarissen) van de beheerregeling van 1 januari 2012 en naar aanleiding van het optimaliseren van de bedrijfsvoering de volgende functionarissen aan te wijzen: Informatiebeheerder: Hoofd afdeling Publiekszaken plaatsvervanger: Teamleider Publiekszaken Applicatiebeheerder: Applicatiebeheerder Publiekszaken (1) plaatsvervanger: Applicatiebeheerder Publiekszaken (2) Gegevensbeheerder: Kwaliteitsmedewerker Publiekszaken plaatsvervanger: Senior medewerker Publiekszaken Privacybeheerder: plaatsvervanger:
Senior medewerker Publiekszaken Kwaliteitsmedewerker Publiekszaken
Gegevensverwerkers: Senior medewerker Publiekszaken Medewerker Publiekszaken Allround medewerker Publieksbalie Medewerker Publieksbalie Het afnemen van de in art. 36, lid 2, sub e van de Wet bedoelde verklaring Senior medewerkers Publiekszaken Allround medewerker Publieksbalie Systeembeheer Door het hoofd van de afdeling HII zijn als systeembeheerder/netwerkbeheerder aangewezen: Systeem-netwerkbeheerder 1 plaatsvervanger: Systeem-netwerkbeheerder 2 Beveiligingsfunctionaris: Medewerker interne controle Waalwijk, 17 september 2013 Het hoofd van de afdeling Publiekszaken, w.g.
M. van Eijk
Informatiebeveiligingsplan GBA Waalwijk
pagina 82 van 84
6.
INTERNE DISTRIBUTIELIJST “INFORMATIEBEVEILGINGSPLAN GBA 2013”
De ondergetekenden, medewerkers van de afdeling Publiekszaken, domein Leven, reizen en papieren, hebben op genoemde datum van het hoofd Publiekszaken ontvangen het Informatiebeveiligingsplan GBA 2013. Zij verklaren dat ze binnen één maand na ontvangst kennis zullen dragen van de inhoud van dit handboek en in voorkomende gevallen dienovereenkomstig zullen handelen. Naam medewerker:
Datum ontvangst:
Handtekening:
S. Pruijn M. Beckers J. Maas J. Damen A. Eerden N. Elshout W. Klop K. de Kock A. van Kuik M. Kuis I. Lapré A. van Sluisveld W. de Witt E. Zwijnenburg R. van Alebeek M. van Dongen J. Koreman R. Kempe T. de Vos N. Wijten J. Mosselman H. Vos E. Vissers J. van Laarhoven
Overige medewerkers van de gemeente Waalwijk met een autorisatie om persoonsgegevens te raadplegen melden per e-mail de ontvangst van dit Informatiebeveiligingsplan GBA 2103 en verklaren tevens dit document binnen een maand te hebben gelezen. De senior medewerker Publiekszaken houdt hiervan een administratie bij.
Informatiebeveiligingsplan GBA Waalwijk
pagina 83 van 84