Veilig gebruik van suwinet Mariska ten Heuw Wethouder Sociale Zaken
Aanleiding en korte terugblik SZW Inspectie onderzoekt periodiek gebruik suwinet Gemeentelijke presentaties schieten tekort Suwi Normenkader (115 normen) geldt sinds 2002 Uitkomst onderzoek 2012 / 2013 op 7 van 115 normen: – Meeste onderzochte gemeenten score van 0, 1 of 2 normen – Bij 1 op 5 gemeenten bekende Nederlanders opgevraagd
11-3-2014
2
Aanleiding en korte terugblik SZW, VNG, CBP, Tweede Kamer: verbetering nodig VNG verbeterplan – Zorg dat VNG de verbeteringen kan laten zien – Non-response zelftest is zorgelijk
11-3-2014
3
Relatie tot de decentralisaties Verbetering is belangrijk vanwege decentralisaties Voor uitvoering nieuwe taken is wettelijk kader doorontwikkeling gegevenswisseling noodzakelijk Staat onder druk door gebrek aan vertrouwen in huidig gebruik
11-3-2014
4
Generieke en specifieke aanpak Generieke aanpak informatiebeveiliging is basis Op 29 november is een aanpak vastgesteld op ALV met 95% meerderheid Bestaat uit algemeen normenkader, verplichtende zelfregulering en terugdringen auditlasten KING en Informatiebeveiligingsdienst faciliteren Verbeterplan veilig gebruik suwinet is aanvulling en scope van deze bijeenkomst – ligt onder politiek vergrootglas – Richt zich op deel van generieke normenkader – Zit meer tijdsdruk op 11-3-2014
5
Verbeterplan VNG – Zelftest – voor alle gemeenten, ken je eigen situatie – Deel de uitkomsten in digitale ledenpeiling – nu en eind 2014 – Stappenplan voor gemeenten die aan meeste normen niet voldoen
– Normspecifieke tools voor gemeenten die op één of enkele normen slag moeten maken
– Voorlichtingsbijeenkomsten – … jullie kunnen aangeven wat je nog meer nodig hebt
11-3-2014
6
Suwinet Oftewel vertrouwen is goed, controle is beter
De situatie voor 01-01-2014 Elke 2 maanden opvraag gegevens Bekijken of er iets vreemds mee is Gemiddeld 1x per jaar extra gegevens opvragen Tot nu is er 2x een corrigerend gesprek gevoerd, en was er 1x een ontslag op staande voet Gemiddelde score op Suwinet zelftest een 7
11-3-2014
8
De situatie na 01-01-2014 De zelftest – Je denkt alles redelijk op orde te hebben – Vorig jaar een 7, nu geen enkele vraag volledig voldoende, dus geen vraag voldoende – Ontnuchtering – Er wordt veel meer gevraagd van de organisatie dan tot nu toe – Inrichting van de organisatie moet volledig aangepast worden – Samenhang met andere systemen en de transities.
11-3-2014
9
stappen verbeterplan Stap 10. Voer onder regie van de CISO de stappen Veilig Suwinet uit als onderdeel van de BIG. Stap 1 organiseren en plannen verbeterplan Verkrijgen van een directieopdracht om een werkgroep te formeren Samenstelling werkgroep: – ICT beleidsadviseur, security officer, interne audit, applicatiebeheer – Samenheng met transities borgen Stap 2 Verzeker je van bestuurlijke verantwoordelijkheid: betrek de portefeuillehouder(s) en raad Inlichten college en Raad (voorstel ligt er) 11-3-2014 10
Voorstel aan college en directie Aanstellen security officer met vaste taken en bevoegdheden Deze positioneel hangen onder Central Intelligents Officer (verantwoordelijk voor totale ICT beveiliging, en niet in de lijn) Beleid en werk linken aan integriteitsbeleid van de HAR Lijn opzetten met uitvoering Lijn opzetten met Borne (oa ook directie en college. 11-3-2014 11
Stap 3. Verzamel (werkendeweg) de documenten die betrekking hebben over Veilig Suwinet Stap 4. Controleer de huidige autorisaties voor de uitvoering van de WWB en schoon op (toevallig gedaan in de samenvoeging met Borne). De rollen worden wel opnieuw bekeken op functie en taak medewerker Doorgaan met wat je deed: Stap 5. Controleer het recente gebruik aan de hand van gebruiksrapportages en bepaal eventuele vervolgstappen (Zie bij misbruik). Stap 6 en 7. Analyseer de organisatie van Veilig Suwinet en de verantwoordelijkheden . Eind 2014 ligt er een nieuw gemeentelijk beveiligingsbeleid en –plan, breder dan alleen SUWI Stap 8. Leg het pakket met verbetervoorstellen voor ter besluitvorming aan de gemeentesecretaris en aan B&W (vermoedelijk september Stap 9. Implementeer de nieuwe processen autoriseren en controleren in de organisatie 11-3-2014
12
Bij misbruik Uitgangspunten: Er is duidelijk vastgelegd wat juist- en onjuist gebruik van de gegevens is. Er is dus geen twijfel over wat wel en niet geoorloofd is; Medewerkers worden regelmatig én aantoonbaar over het bovenstaande geïnformeerd; Medewerkers worden (aantoonbaar) geïnformeerd over de consequenties van onjuist/ongeoorloofd gebruik.
11-3-2014 13
Wat zijn de consequenties van onjuist/ongeoorloofd gebruik: Onjuist/ongeoorloofd gebruik van Suwinet is een vorm van plichtsverzuim in de zin van HAR artikel 16:1:1. Er kan een disciplinaire straf worden opgelegd in de zin van HAR artikel 16:1:2.
11-3-2014 14
Artikel 16:1:1 Plichtsverzuim Lid 1 De ambtenaar die de hem opgelegde verplichtingen niet nakomt of zich overigens aan plichtsverzuim schuldig maakt dan wel bij herhaling aanleiding geeft tot toepassing te zijnen aanzien van maatregelen van inhouding, beslag of korting, als bedoeld in de tweede titel van de Ambtenarenwet, kan deswege disciplinair worden gestraft. Lid 2 Plichtsverzuim omvat zowel het overtreden van enig voorschrift als het doen of nalaten van iets dat een goed ambtenaar in gelijke omstandigheden behoort na te laten of te doen.
11-3-2014 15
Artikel 16:1:2 Disciplinaire straffen Lid 1 Naast de mogelijkheid genoemd in artikel 8:13, kunnen de volgende disciplinaire straffen worden toegepast: schriftelijke berisping; arbeid buiten de voor de betrekking van de ambtenaar vastgestelde werktijden zonder vergoeding of tegen een lagere dan de normale vergoeding voor ten hoogste zes uren met een maximum van drie uren per dag en met dien verstande dat deze arbeid niet kan worden opgelegd op zondag en op de voor de ambtenaar geldende kerkelijke feestdagen; vermindering van vakantie met ten hoogste 1/3 van het aantal uren waarop de ambtenaar voor het desbetreffende kalenderjaar aanspraak heeft;
11-3-2014 16
geldboete tot ten hoogste 1% van het bedrag van het salaris per jaar; niet-betaling van het salaris, doch ten hoogste tot een bedrag overeenkomende met het salaris over een halve maand; stilstand van verhoging van salaris, met uitzondering van verhogingen als gevolg van algemene loonmaatregelen, een herwaardering van de betrekking daaronder begrepen, voor ten hoogste vier jaren; vermindering van salaris met ten hoogste het bedrag van de laatste twee periodieke verhogingen, of, indien aan de door de ambtenaar beklede betrekking geen schaal is verbonden, vermindering van het salaris met ten hoogste 5%, een en ander voor de tijd van niet langer dan twee jaren; plaatsing in een andere betrekking, al of niet in een ander onderdeel van de dienst, voor bepaalde of onbepaalde tijd en met of zonder vermindering van bezoldiging; schorsing voor een bepaalde tijd zonder of met gedeeltelijk genot van bezoldiging.
11-3-2014 17
Lid 2 De straffen genoemd in het eerste lid, onder a t/m g, worden opgelegd door het college; de straffen genoemd onder h en i, alsmede de straf genoemd in artikel 8:13, worden opgelegd door het bestuursorgaan dat bevoegd is tot aanstelling in de laatstelijk door de ambtenaar vervulde betrekking. Lid 3 Bij het opleggen van een straf kan worden bepaald, dat zij niet ten uitvoer zal worden gelegd indien de betrokken ambtenaar zich gedurende de bij het opleggen van de straf te bepalen termijn niet schuldig maakt aan soortgelijk plichtsverzuim als waarvoor de bestraffing plaatsvindt, noch aan enig ander ernstig plichtsverzuim en zich houdt aan bij het opleggen van de straf eventueel te stellen bijzondere voorwaarden.
11-3-2014 18
Voorstel aan college en directie In het Informatiebeveiligingsbeleid van de gemeente inspelen op/rekening houden met SUWINET. En omgekeerd het kader voor de maatregelen in SUWINET is het centrale informatiebeveiligingsbeleid aangepast. Aparte paragraaf in informatiebeveiligingsplan De CISO (Chief Information Security Officer) (aangesteld door directie) betrekken. De CISO is bij een gemeente qua governance verantwoordelijk en aanspreekbaar voor de informatiebeveiliging. Valt onder CIO, maar stemt af op o.a. het terrein van audits (DigiD, GBA,…) en dus ook met security officer van Suwinet
11-3-2014 19
Planning en Control Opzetten van een planning en Control cyclus met betrekking tot – – – – –
Opvragen rapportages Eventueel opvragen deelrapportages Rapporteren aan directie(s) Rapporteren aan college(s) en raad (raden) Auditing
11-3-2014 20