Informatiebeveiliging
In de (programma) begroting 2019 is voor het eerst een (facultatieve) paragraaf Informatiebeveiliging en Privacy opgenomen. Via deze paragraaf geven wij aan wat wij in 2019 voornemens zijn te doen. Bij de jaarrekening legt het college via deze paragraaf horizontaal verantwoording af aan de raad over informatieveiligheid en privacy.
Doel
Informatieveiligheid is voor de gemeente Maassluis van belang, want de gemeente is een informatie intensieve organisatie die vertrouwelijke, privacy-gevoelige gegevens verwerkt. Doel van informatieveiligheid is het beschermen van informatie tegen bedreigingen, teneinde de continuïteit van de bedrijfsvoering te kunnen waarborgen.
BIG en ENSIA
Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. De BIG bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. De BIG omvat ook de eisen van onder andere de Wet bescherming persoonsgegevens (WBP), Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), Gemeentelijke Basisadministratie (GBA en de opvolger BRP), Basisregistratie Adressen en Gebouwen (BAG) en de Wet Paspoortuitvoeringsregeling (PUN).
Over de BIG en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd. Gezien het aantal wetten brengt dit een grote inspanning en kosten met zich mee. Dat was de aanleiding voor het project Eenduidige Normatiek Single Information Audit (ENSIA) vanaf medio 2017. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG.
Horizontale verantwoording
Met ENSIA sluit de verantwoording over informatieveiligheid aan op de reguliere planning- en controlcyclus van de gemeente aan de gemeenteraad. Wij leggen verantwoording af over de informatiebeveiliging over 2018 door één Collegeverklaring inzake Informatiebeveiliging op te stellen. Over deze verklaring wordt een audit uitgevoerd door een RE-auditor en een Assurancerapport opgesteld.
Verticale verantwoording
ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Verantwoording over 2018 zal in 2019 plaatsvinden aan de stelselhouders (Binnenlandse Zaken/ Logius en Inspectie SoZaWe) door het beschikbaar stellen van de uitkomsten van de zelfevaluatie en audits.
Gemeentebreed Informatiebeveiligingsbeleid
Daar informatieveiligheid binnen de totale bedrijfsvoering van de gemeente een rol speelt heeft de gemeente een gemeentebreed informatiebeveiligingsbeleid opgesteld. HIerin wordt beschreven welke uitgangspunten, beleid en procedures gelden ten aanzien van de informatiebeveiliging van de gemeente Maassluis. Ook zijn hierin de verantwoordelijkheden en rollen neergelegd. In 2018 is het beleidskader geactualiseerd.
Risicoanalyse 2019
Het Informatiebeveiligingsbeleid is gebaseerd op een organisatiebrede risico-inventarisatie. Door de inventarisatie ontstaat er een ‘foto’ van de huidige informatieveiligheidssituatie. Onderdeel van deze inventarisatie is een schouw van het gebouw en interviews met medewerkers. Elk jaar wordt een dergelijke analyse uitgevoerd.
GAP-analyse 2019
Het doel van de GAP-analyse is te controleren of en zo ja, in welke mate de BIG-maatregelen zijn geïmplementeerd bij de gemeente. Hiermee wordt de bestaande situatie met de gewenste situatie, de maatregelen uit de baseline, vergeleken. Elk jaar wordt een dergelijke analyse uitgevoerd.
Actieplan 2019
Op basis van de gemeentebrede risico-inventarisatie wordt een compact Actieplan opgesteld. Dit omvat de verbeteracties waaraan de gemeente de komende periode prioriteit gaat geven. Het Actieplan 2019 zal de concrete acties volgend uit de risicoanalyse gaan omvatten.
Procedureboek Informatiebeveiliging
In het Procedureboek Informatiebeveiliging worden de procedures op het gebied personeel en organisatie, huisvesting en informatie en communicatietechnologie. Jaarlijks dient het boek te worden geactualiseerd. Actualisatie zal begin 2019 gaan plaatsvinden.
Algemene Verordening Gegevensbescherming
De Wet bescherming persoonsgegevens (Wbp) is vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). Doel van de AVG is om inwoners meer zeggenschap te geven over de verwerking van hun persoonsgegevens. Zo krijgen burgers het recht om hun gegevens in te zien, te laten wijzigen of zelfs volledig te laten wissen. Ook krijgen zij het recht om hun persoonsgegevens op te vragen en mee te nemen naar een andere organisatie (het recht op dataportabiliteit) of een klacht bij de toezichthouder, de Autoriteit Persoonsgegevens (AP), in te dienen.
Organisaties dienen zorgvuldig met persoonsgegevens om te gaan en hebben vanaf 25 mei 2018 een verantwoordingsplicht. Dat betekent dat zij een privacy-administratie moeten bijhouden. Hierin moet worden aangegeven welke persoonsgegevens worden verwerkt, met welk doel en hoe deze gegevens worden beveiligd. Tevens dienen gemeenten een functionaris voor de gegevensbescherming (FG) aan te stellen die binnen de organisatie toeziet op de naleving van de privacyregels. In het eerste kwartaal van 2018 is deze voor de gemeente Maassluis door ons aangesteld.
Om te zorgen dat bedrijven en organisaties hun verantwoordelijkheid nemen, kan de Autoriteit Persoonsgegevens administratieve boetes opleggen. Deze kunnen oplopen tot 20 miljoen euro.
Meldplicht datalekken
Sinds 1 januari 2016 is de meldplicht datalekken van kracht geworden om uiteindelijk de verwerking van persoonsgegevens beter te beschermen. Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Een ontdekt datalek dient binnen 72 uur te worden gemeld bij de AP. Afhankelijk van de situatie dienen ook de betrokkenen, dat wil zeggen de inwoners waarvan persoonsgegevens zijn gelekt, te worden geïnformeerd.
De gemeente is verplicht deze meldplicht uit te voeren en hiervoor passende maatregelen te nemen. In het Procedureboek is een procedure inzake meldplicht datalekken opgenomen en vastgesteld. Alle medewerkers van de gemeente Maassluis kunnen een vermeend datalek melden. De medewerkers zijn over de meldplicht en breder over het bewust omgaan met (vertrouwelijke) gegevens geïnformeerd via bijeenkomsten.