Metadossier Informatiebeveiliging

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

Gemeenten evalueren het informatiebeveiligingsbeleid eens in de drie jaar, of zodra zich belangrijke wijzigingen voordoen, en stellen deze indien nodig bij.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Uiterlijk 25 mei 2018 moesten overheden en bedrijven voldoen aan de AVG van de EU. Daartoe behoort onder andere het aanstellen van een Functionaris voor de Gegevensbescherming (FG), opstellen van een privacystatement en opstellen van een register van verwerkingsactiviteiten.

Gemeenten hebben afgesproken dat risico's opinformatieveiligheid die betrekking hebben op externe
partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen. De AVG stelt aanvullende eisen aan de overeenkomst tussen verwerkingsverantwoordelijke, in dit geval de gemeente, en de verwerker. Bijvoorbeeld met betrekking tot het toepassen van passende technische en organisatorische maatregelen.
In de Resolutie van de VNG staat dat gestreefd wordt naar transparantie richting ketenpartners.

Vanaf 1-1-2016 moeten in het kader van de Meldplicht
ernstige datalekken direct gemeld worden bij de Autoriteit
Persoonsgegevens, en soms aan de betrokkenen.

budget en personele inzet

-

Sturende rol college / GS

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

betrokkenheid samenwerkende gemeenten

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Gemeenten hebben afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur (colleges en raden) wordt gerapporteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Ten aanzien van de beoordeling van het beveiligingsbeleid dienen er periodieke beveiligingsaudits te worden uitgevoerd. Over het functioneren van informatiebeveiliging wordt gerapporteerd aan het management. Op basis van een risicobeoordeling dient een continuïteitsplan met betrekking tot informatiebeveiliging te zijn opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz. Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Vanaf 1-1-2016 moeten in het kader van de Meldplicht ernstige datalekken direct gemeld worden bij de Autoriteit Persoonsgegevens, en soms aan de betrokkenen.

informatie voor college / GS

Gemeenten hebben afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur (colleges en raden) wordt gerapporteerd.

informatie voor de raad / PS

Gemeenten hebben afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur (colleges en raden) wordt gerapporteerd.

organisatie, werkprocessen en uitvoering

Het management stelt naar aanleiding van een GAPanalyse het informatiebeveiligingsbeleid op. Jaarlijks wordt op basis van een risicoanalyse het informatiebeveiligingsplan ingevuld.

Voorwaarde voor informatiebeveiliging is onder andere dat dit een verantwoordelijkheid is van het lijnmanagement en de medewerkers. Bewustwording op en kennis en expertise van risico’s zijn essentieel. Gemeenten hebben afgesproken te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

calamiteiten en risicobeheersing

De in de administratieve organisatie aanwezige informatie moet in overeenstemming zijn met het beveiligingsniveau op basis van classificatie op beschikbaarheid, integriteit en vertrouwelijkheid (biv).

bewustwording, kennis en kunde in de organisatie

Voorwaarde voor informatiebeveiliging is onder andere dat dit een verantwoordelijkheid is van het lijnmanagement en de medewerkers. Bewustwording op en kennis en expertise van risico’s zijn essentieel. Gemeenten hebben afgesproken te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

beveiliging en autorisatie

Aansluiting bij de IBD wordt aangeraden door de VNG.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Gemeenten hebben afgesproken dat risico's opinformatieveiligheid die betrekking hebben op externe
partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen. De AVG stelt aanvullende eisen aan de overeenkomst tussen verwerkingsverantwoordelijke, in dit geval de gemeente, en de verwerker. Bijvoorbeeld met betrekking tot het toepassen van passende technische en organisatorische maatregelen.
In de Resolutie van de VNG staat dat gestreefd wordt naar transparantie richting ketenpartners.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

In beleidskaders wordt ingegaan op juridische aspecten, de vertaling naar beleidskaders, organisatie, taken en verantwoordelijkheden.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De gemeente heeft AVG-conforme beleidskaders, regels en richtlijnen met betrekking tot de (juridische) borging van de privacy van inwoners. Voor specifieke (meer risicovolle) domeinen heeft de gemeente aanvullende regels opgesteld.

In de verschillende beleidskaders wordt ingegaan op:

• Juridische aspecten op basis van de AVG en de materie wetten
• Vertaling naar de beleidskaders privacy.
• Organisatie, taken en verantwoordelijkheden.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De algemene uitgangspunten en kaders zijn besproken in en vastgesteld door de gemeenteraad.

De informatieverstrekking aan de raad biedt de raad voldoende mogelijkheden om de sturende en controlerende verantwoordelijkheden waar te maken.

Controlerende rol gemeenteraad / PS

Informatieverstrekking naar de raad biedt voldoende mogelijkheden voor sturing en controle.

werkprocessen monitoren, bewaken en verbeteren

Het toezicht op gebruik van persoonsgegevens is vastgelegd in een controleplan.

De gemeente heeft een leer- en verbetercyclus waar privacy een apart onderdeel van uitmaakt. Hierin is aandacht voor mogelijke (ongewenste) knelpunten.

De gemeente heeft een routine voor het meten en verbeteren van de bescherming persoonsgegevens en legt vast wat de bevindingen en maatregelen zijn. Deze routine is al tenminste één keer uitgevoerd.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

In bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan bescherming van persoonsgegevens.

informatie voor de raad / PS

IEr is vastgelegd hoe de raad wordt geïnformeerd over (de ontwikkelingen in) het
privacybeleid.

In de praktijk wordt de raad conform de overeengekomen systematiek geïnformeerd over de ontwikkelingen in het privacybeleid.

organisatie, werkprocessen en uitvoering

In bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

In beleidskaders wordt ingegaan op juridische aspecten, de vertaling naar beleidskaders, organisatie, taken en verantwoordelijkheden.

In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties, de afspraken voor de verwerking van gegevens en de afspraken over het informeren van burgers en het vragen van toestemming.

De medewerkers van de gemeente zijn bekend met het gemeentelijk beleid bescherming persoonsgegevens en worden van aanpassingen op de hoogte gehouden.

In hun dagelijks functioneren geven de medewerkers er blijk van het gemeentelijk privacybeleid na te leven.

In de relatie met inwoners zijn de medewerkers proactief en transparant over de wijze waarop de gemeente omgaat met hun gegevens.

In de relatie met ketenpartners bewaken de medewerkers actief dat deze ketenpartners zich conformeren aan de regels, standaarden en procedures van de gemeente.

calamiteiten en risicobeheersing

Er is een procedure vastgelegd hoe de gemeente handelt in het geval van geconstateerde ‘datalekken’.

Indien er sprake is geweest van een datalek, heeft de gemeente conform de vastgelegde procedure gehandeld.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Afspraken in verwerkersovereenkomsten met derden worden door de gemeente gemonitord en geverifieerd.

In de relatie met ketenpartners bewaken de medewerkers actief dat deze ketenpartners zich conformeren aan de regels, standaarden en procedures van de gemeente.

communicatie en betrokkenheid burgers

De gemeente informeert de burger op een toegankelijke en begrijpelijke wijze over hun privacy-rechten, zowel schriftelijk als mondeling.

De gemeente verschaft aan inwoners schriftelijk en mondeling begrijpelijke informatie over het gebruik van hun persoonsgegevens, zowel in algemene zin als afgestemd op de verschillende fasen in het dienstverleningsproces. Daarbij wordt aangegeven met welk doel dit gebeurt, wie inzage heeft en wat er vervolgens met de gegevens gebeurt.

In de relatie met inwoners zijn de medewerkers proactief en transparant over de wijze waarop de gemeente omgaat met hun gegevens.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

wordt voldaan aan de AVG

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

er is een implementatieplan gericht op het voldoen aan de regels uit de AVG.

budget en personele inzet

De beschikbare middelen zijn voldoende voor het realiseren van de voorgenomen doelen en activiteiten.

• Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Als norm voor een proces van continu verbeteren wordt de toepassing van de PDCA-cyclus (cyclische manier van werken) gehanteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Voldoende zicht op de risico’s betekent:

• Er is een actuele en volledige risico-inventarisatie;
• De risico’s zijn geanalyseerd op de kans dat deze zich voordoet en het effect daarvan (inhoudelijk en financieel);
• Voor de risico’s is bepaald welke geaccepteerd worden en voor welke maatregelen worden genomen;

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

is de taakverdeling duidelijk voor de betrokken partijen?

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

Een goede uitwerking en borging betekent:

• Het beleid is vertaald in activiteiten in een volledig en actueel uitvoeringsprogramma, met per activiteit toegekende:
• bevoegdheden en verantwoordelijkheden
• beschikbare middelen (personeel en financieel). / Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.
• De uitvoering wordt actief (bijgestuurd) op basis van de principes van de PDCA-cyclus (cyclisch werken).

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Voor een goed proces van bewustwording geldt:

• De bewustwordingsacties worden gericht ingezet voor de diverse categorieën medewerkers;
• De bewustwordingsacties zijn onderdeel van een proces van continu verbeteren;
• Gegeven de steeds nieuwe veiligheidsdreigingen en -risico’s wordt de PDCA-cyclus (ook) met een hoge frequentie doorlopen.

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

beveiliging en autorisatie

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Een goede balans betekent:

• aandacht voor mogelijke tegenstellingen tussen regels en procedures rondom de bescherming van privacy en een goede dienstverlening in het privacybeschermingsbeleid en de vertaling daarvan naar de uitvoering;
• het actief uitdragen van het privacybeschermingsbeleid van bovenaf in de organisatie;
• een hoge mate van bewustzijn onder medewerkers;
• een goede informatieverstrekking aan burgers;
• het bieden van een platform aan burgers om de privacyrechten uit te kunnen oefenen;
• dat het zoeken daarnaar onderdeel is van een continu proces van verbeteren

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

wordt voldaan aan de AVG

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

er is een implementatieplan gericht op het voldoen aan de regels uit de AVG.

budget en personele inzet

De beschikbare middelen zijn voldoende voor het realiseren van de voorgenomen doelen en activiteiten.

• Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Als norm voor een proces van continu verbeteren wordt de toepassing van de PDCA-cyclus (cyclische manier van werken) gehanteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Voldoende zicht op de risico’s betekent:

• Er is een actuele en volledige risico-inventarisatie;
• De risico’s zijn geanalyseerd op de kans dat deze zich voordoet en het effect daarvan (inhoudelijk en financieel);
• Voor de risico’s is bepaald welke geaccepteerd worden en voor welke maatregelen worden genomen;

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

is de taakverdeling duidelijk voor de betrokken partijen?

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

Een goede uitwerking en borging betekent:

• Het beleid is vertaald in activiteiten in een volledig en actueel uitvoeringsprogramma, met per activiteit toegekende:
• bevoegdheden en verantwoordelijkheden
• beschikbare middelen (personeel en financieel). / Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.
• De uitvoering wordt actief (bijgestuurd) op basis van de principes van de PDCA-cyclus (cyclisch werken).

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Voor een goed proces van bewustwording geldt:

• De bewustwordingsacties worden gericht ingezet voor de diverse categorieën medewerkers;
• De bewustwordingsacties zijn onderdeel van een proces van continu verbeteren;
• Gegeven de steeds nieuwe veiligheidsdreigingen en -risico’s wordt de PDCA-cyclus (ook) met een hoge frequentie doorlopen.

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

beveiliging en autorisatie

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Een goede balans betekent:

• aandacht voor mogelijke tegenstellingen tussen regels en procedures rondom de bescherming van privacy en een goede dienstverlening in het privacybeschermingsbeleid en de vertaling daarvan naar de uitvoering;
• het actief uitdragen van het privacybeschermingsbeleid van bovenaf in de organisatie;
• een hoge mate van bewustzijn onder medewerkers;
• een goede informatieverstrekking aan burgers;
• het bieden van een platform aan burgers om de privacyrechten uit te kunnen oefenen;
• dat het zoeken daarnaar onderdeel is van een continu proces van verbeteren

extern leren

-

Beleid informatiebeveiliging en privacybescherming

• De BEL-gemeenten hebben de uitgangspunten voor het privacybeleid beschreven en vastgesteld.
• De BEL-gemeenten (dan wel de uitvoerende gemeente hebben de risico's voor het beheer, gebruik en de uitwisseling van persoonsgegevens (voor de drie decentralisaties) onderzocht.
• De BEL-gemeenten (dan wel de uitvoerende gemeente) hebben normen voor het beheer, het gebruik en de uitwisseling van persoonsgegevens door medewerkers van de gemeente en andere betrokken partijen.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De richtlijnen en beleidsregels voldoen aan de belangrijkste bepalingen uit de Wet bescherming persoonsgegevens:

• Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
• Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
• Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
• De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

• De BEL-gemeenten (dan wel de uitvoerende gemeente hebben de risico's voor het beheer, gebruik en de uitwisseling van persoonsgegevens (voor de drie decentralisaties) onderzocht.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De BEL-gemeenten houden toezicht op de juridische borging van privacy.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

De BEL-gemeenten en de uitvoerende gemeente hebben afspraken gemaakt over de bescherming van gegevens, bijvoorbeeld over werkvoorschriften, procedures en protocollen voor het gebruiken, uitwisselen en bewaren van persoonsgegevens.

calamiteiten en risicobeheersing

De BEL-gemeenten (dan wel de uitvoerende gemeente hebben de risico's voor het beheer, gebruik en de uitwisseling van persoonsgegevens (voor de drie decentralisaties) onderzocht.

De uitvoerende gemeente rapporteert aan de BEL-gemeenten over de diverse typen risico’s rond informatiebeveiliging en privacy:

• Sociaal inhoudelijk, bijv. de dienstverlening komt niet op het gewenste niveau;
• Samenwerking, bijv. de afstemming met ketenpartijen en concernpartijen is onvoldoende;
• Juridisch, bijv. de privacy is onvoldoende geborgd in de manier waarop de systemen zijn ingericht en hulpverleners krijgen privégegevens onder ogen;
• Personeel, bijv. betrokken medewerkers implementeren de gewenste planning & controle maatregelen onvoldoende;
• Informatisering, bijv. de ICT-voorziening voldoet niet aan de gewenste kwaliteit.
• Organisatie en leiderschap, bijv. de sturing schiet te kort.
• Politiek, bijv. in hoeverre kan de raad casus inhoudelijk en op detailniveau bespreken;
• Economie/financieel, bijv. budgetoverschrijdingen doordat de ICT meer kost dan voorzien.

De BEL-gemeente is zich bewust van de risico’s; dit is te zien in beheersmaatregelen.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

• De afspraken rond informatie-uitwisseling met ketenpartners zijn duidelijk en passend.
• BEL-gemeente, uitvoerende gemeente en ketenpartners zijn op de hoogte van de afspraken en handelen ernaar.

communicatie en betrokkenheid burgers

De BEL-gemeenten hebben een passend protocol voor het communiceren over de omgang met persoonsgegevens.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Informatiebeveiligingsbeleid:
De gemeente dient een informatiebeveiligingsbeleid vastgesteld te hebben met de kaders, doelen, afspraken, invulling van de benodigde acties, evaluatieafspraken, bijsturingsacties en verantwoordingsafspraken.

is het beleid conform BIO (BIG)

als normenkader wordt gehanteerd of Breda voldoet aan de BIG-normen (Baseline Informatiebeveiliging Nederlandse Gemeenten)

wordt voldaan aan de AVG

-

budget en personele inzet

Informatiebeveiligingsbudget:
Er moet voldoende budget beschikbaar zijn om de beveiliging goed uit te kunnen voeren, om risico- en kwetsbaarhedenanalyses te kunnen doen, om de beveiliging verder uit te kunnen breiden en om bijvoorbeeld leertrajecten richting gemeentelijke medewerkers op te zetten.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Verantwoording informatieveiligheid:
Gemeenten dienen het beleid, de gemaakte afspraken en geplande acties te toetsen, te controleren en verantwoording af te leggen via de P&C-cyclus.

Checks - Audits - Evaluatie - Risicoanalyse

Digitale beveiliging: De beveiliging van digitale informatiesystemen en ICT-structuren moet goed op orde zijn, de informatiesystemen moeten steeds getest op kwetsbaarheden en oneigenlijk gebruik, er moet meteen alert gereageerd worden bij incidenten of misbruik en de ict-beveiliging moet continu verbeterd worden.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

De organisatie van de informatiebeveiliging:
De verantwoordelijkheden, taken en verplichtingen van bestuurders, afdelingen en medewerkers moeten goed vastgelegd zijn, zodanig dat problemen, hiaten en lekken tijdig doorgegeven worden, opgepakt en opgelost worden. Speciale beveiligingsfunctionarissen (waaronder een chief information officier die direct aan de directie rapporteert) en fulltime (privacy en ICT)securityprofessionals, moeten benoemd zijn.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Bewustzijn van medewerkers m.b.t. veilig omgaan met informatie en bescherming privacy:
Alle medewerkers dienen bewust en veilig om te gaan met papieren, mondelinge, digitale e.d. informatie15. De regels wat betreft vertrouwelijkheid, integriteit, beschikbaarheid en privacybescherming dienen nageleefd te worden. De gemeente moet zorgen dat iedere medewerker goed op de hoogte is van de regels, de risico’s en de plicht om problemen en datalekken door te geven.

beveiliging en autorisatie

Persoonlijke en fysieke beveiliging:
De toegangsbeveiliging, -beheer en –controles moeten goed op orde zijn, zowel van gebouwen, afdelingen, personen en apparatuur, als van systemen, informatie en gegevens en hoe medewerkers omgaan met informatie (o.a. clean desk policy) en met informatiedragers (zoals USB-sticks, Ipads, Smartphones e.d.).

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Afspraken m.b.t. informatiebeveiliging in overeenkomsten /contracten met externe partijen:
Gemeenten dienen beveiligingsafspraken te hebben vastgelegd in overeenkomsten met ICT-gelieerde bedrijven die diensten verzorgen (leveranciers, beheer- en hosting bedrijven e.d.) en in contracten met derden /externe partijen 16. Dit betreft afspraken over beveiliging, eigendom (o.a. van gegevens), verantwoordelijkheden, plicht tot meewerken aan beveiligingsonderzoeken, aansprakelijkheid, geheimhouding en privacyafspraken t.a.v. persoonsgegevens en rapportage over de beveiliging.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

normen van het Baseline Informatiebeveiliging Overheid (BIO)

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Bij het beantwoorden van deze onderzoeksvragen en de daarbij te hanteren normen, wordt aangesloten bij de verplichte normen uit BIG, ENSIA en AVG.

wordt voldaan aan de AVG

Bij het beantwoorden van deze onderzoeksvragen en de daarbij te hanteren normen, wordt aangesloten bij de verplichte normen uit BIG, ENSIA en AVG.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

In de BIG is afgesproken, dat het integrale beleid op het terrein van informatiebeveiliging door de colleges van B&W moet worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. Het beleid is risico gebaseerd en een verantwoordelijkheid van het lijnmanagement. Deze stelt op basis van een analyse en assessments de risico's vast.

In de BIG hebben gemeenten afgesproken dat het informatiebeveiligingsbeleid eens in de drie jaar, of zodra zich belangrijke wijzigingen voordoen, wordt geëvalueerd.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Uiterlijk 25 mei 2018 moeten overheden en bedrijven voldoen aan de AVG van de EU. Daartoe behoort onder andere het aanstellen van een Functionaris voor de gegevensbescherming (FG).

budget en personele inzet

-

Sturende rol college / GS

In de BIG is afgesproken, dat het integrale beleid op het terrein van informatiebeveiliging door de colleges van B&W moet worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. Het beleid is risico gebaseerd en een verantwoordelijkheid van het lijnmanagement. Deze stelt op basis van een analyse en assessments de risico's vast.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.

In de BIG hebben gemeenten afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van de P&C-cyclus. In de BIG zelf staat niets over rapporteren aan waarstaatjegemeente.nl over het thema informatieveiligheid. In de Resolutie van de VNG staat dat gestreefd wordt naar transparantie en dat deze onder meer bereikt wordt door gebruik te maken van waarstaatjegemeente.nl.

Checks - Audits - Evaluatie - Risicoanalyse

Ten aanzien van de beoordeling van het beveiligingsbeleid is in de BIG geregeld dat er periodieke beveiligingsaudits worden uitgevoerd. Over het functioneren van informatiebeveiliging wordt volgens de P&C-cyclus gerapporteerd aan het lijnmanagement.

In de BIG hebben gemeenten afgesproken dat het informatiebeveiligingsbeleid eens in de drie jaar, of zodra zich belangrijke wijzigingen voordoen, wordt geëvalueerd.

informatie voor college / GS

In de BIG hebben gemeenten afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van de P&C-cyclus.

informatie voor de raad / PS

Ten aanzien van de beoordeling van het beveiligingsbeleid is in de BIG geregeld dat er periodieke beveiligingsaudits worden uitgevoerd. Over het functioneren van informatiebeveiliging wordt volgens de P&C-cyclus gerapporteerd aan het lijnmanagement. Voor rapportage aan gemeenteraden geeft de BIG geen richtlijnen.

In de BIG hebben gemeenten afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van de P&C-cyclus.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

In de BIG is afgesproken dat op basis van een risicobeoordeling een continuïteitsplan met betrekking tot informatiebeveiliging wordt opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz.

bewustwording, kennis en kunde in de organisatie

In de BIG is afgesproken om te leren van beveiligingsmeldingen met als doel
beheersmaatregelen te verbeteren. Als randvoorwaarde is in de BIG onder andere
geformuleerd dat informatieveiligheid een verantwoordelijkheid is van het lijnmanagement en
dat kennis en expertise essentieel zijn.

In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.

aansluiting op Informatiebeveiligingsdienst (IBD)

Aansluiting op de IBD is niet geregeld in de BIG zelf. De algemene en vertrouwde contactpersonen informatiebeveiliging (Algemene Contactpersoon Informatiebeveiliging [ACIB] en Vertrouwde Contactpersoon Informatiebeveiliging [VCIB]) van de gemeente kunnen aangesloten zijn bij de IBD. Dat is belangrijk, omdat de IBD meldingen van beveiligingsincidenten verzamelt en doorgeeft aan deze contactpersonen. En de IBD waarschuwt voor bedreigingen, zoals lekken in software.

inschakeling externen, (keten)partners én controle

In de BIG hebben gemeenten afgesproken dat risico's op informatieveiligheid die betrekking hebben op externe partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

normenkader van BIO

wordt voldaan aan de AVG

normen volgens AVG

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De provincie heeft een beleidskader informatieveiligheid:

• dat is vastgesteld op minimaal directieniveau,
• maximaal vier jaar oud is en gewijzigd is bijbelangrijke ontwikkelingen en
• gebaseerd op de Interprovinciale Baseline Informatieveiligheid.

De provincie heeft informatieveiligheid verankerd in de reguliere P&C-cyclus en geeft in het jaarverslag inzicht in de status van informatieveiligheid.

is het beleid conform BIO (BIG)

De provincie heeft een beleidskader informatieveiligheid:

• dat is vastgesteld op minimaal directieniveau,
• maximaal vier jaar oud is en gewijzigd is bijbelangrijke ontwikkelingen en
• gebaseerd op de Interprovinciale Baseline Informatieveiligheid.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

De provincie heeft informatieveiligheid als onderdeel van de portefeuille van een lid van GS belegd.

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De provincie heeft de ‘basis’ maatregelen genomen en monitort de uitvoering daarvan.

De provincie controleert de uitvoering van de aanvullende maatregelen die uit de risicoanalyses komen.

Checks - Audits - Evaluatie - Risicoanalyse

De provincie heeft op basis van risicoanalyses bepaald welke aanvullende maatregelen zij moet nemen.

Er is inzichtelijk wat de belangrijkste kroonjuwelen zijn en wat het effect van een cyberaanval op deze kroonjuwelen kan zijn.

De provincie doorstaat de specifieke test.

Uit de test komen geen kwetsbaarheden die al bekend zijn bij de provincie en al opgelost hadden kunnen zijn.

De provincie laat periodiek een onafhankelijke toets uitvoeren op het beveiligingsniveau en de implementatiestatus van het informatieveiligheidsbeleid.

De provincie voert zelfevaluaties uit

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

Er is een duidelijke verantwoordelijkheidsverdeling voor informatieveiligheid en deze is vastgelegd.

De provincie heeft de ‘basis’ maatregelen genomen en monitort de uitvoering daarvan.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

De provincie voert periodiek een bewustwordingsprogramma rondom informatieveiligheid uit.

beveiliging en autorisatie

De provincie neemt afdoende maatregelen voor de
fysieke beveiliging van informatie.

kwetsbaarheid ICT en Informatiesystemen

De provincie heeft de vijf informatieveiligheidstandaarden geïmplementeerd bij haar website en e-mails.

De provincie heeft de basis IT-hygiënemaatregelen (patch
management, toegangsbeheer en back ups) op orde.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

In de beschrijving wordt ingegaan op:

• Juridische aspecten op basis van de Wbp, AVG en de materie wetten: Suwi (en onderliggende regelgeving), Participatiewet, Wmo, Jeugdwet, Wet gemeentelijke schuldhulpverlening.
• Vertaling naar de beleidskaders privacy voor het sociaal domein.
• Organisatie, taken en verantwoordelijkheden in het sociaal domein.
• De toepassing van informatiesystemen en ICT.
• De gegevens- en informatiestromen.
• De positie van en communicatie met de burger.

De gemeente is bekend met de AVG, de impact daarvan en heeft een plan van aanpak voor de noodzakelijke aanpassingen die voor mei 2018 gerealiseerd moeten zijn. Het beleid voldoet tenminste aan de eisen die in wet- en regelgeving worden gesteld: generiek aan de Wbp en de AVG, en specifiek voor de genoemde materiewetten.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

De gemeente is bekend met de AVG, de impact daarvan en heeft een plan van aanpak voor de noodzakelijke aanpassingen die voor mei 2018 gerealiseerd moeten zijn. Het beleid voldoet tenminste aan de eisen die in wet- en regelgeving worden gesteld: generiek aan de Wbp en de AVG, en specifiek voor de genoemde materiewetten.

In de praktijk wordt gehandeld conform de wettelijke normen en kaders.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

In de bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens in het sociaal domein is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

Bij de ontwikkeling van het beleid voor de decentralisatie, de beleidsplannen voor de afzonderlijke beleidsterreinen in het sociaal domein, de rapportages van de Inspectie SZW over het gebruik van Suwinet en de rapportages van de AP over privacy in het sociaal domein, heeft privacy sociaal domein Gooise Meren als punt op de agenda van de Raad gestaan.

Controlerende rol gemeenteraad / PS

In de bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens in het sociaal domein is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

werkprocessen monitoren, bewaken en verbeteren

De gemeente heeft een leer- en verbetercyclus waar privacy een apart onderdeel van uitmaakt.

Checks - Audits - Evaluatie - Risicoanalyse

De gemeente heeft een routine voor het meten en verbeteren van de bescherming persoonsgegevens en legt vast wat de bevindingen en maatregelen zijn. Deze routine is al tenminste één keer uitgevoerd

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In de procesbeschrijvingen en instructies sociaal domein is duidelijk welke functionaris welke gegevens in welke processtap mag verwerken, en onder welke condities dat mag.

In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties en de afspraken voor de verwerking van gegevens.

calamiteiten en risicobeheersing

De gemeente heeft beleid dat betrekking heeft op de omgang met datalekken.
Dit beleid voldoet aan de wettelijke vereisten.

bewustwording, kennis en kunde in de organisatie

De medewerkers zijn bekend met het gemeentelijk beleid bescherming persoonsgegevens, speciaal aangaande het sociaal domein.

De gemeente heeft vastgelegd hoe en wanneer medewerkers worden getraind in / er aandacht besteed wordt aan het onderwerp privacy.

beveiliging en autorisatie

De registraties met persoonsgegevens die in het sociaal domein worden verwerkt zijn in kaart gebracht. Het autorisatieproces voor toegang tot deze registraties staat beschreven:

• er is vastgelegd: wie het besluit neemt over autorisatie (toekennen, intrekken),
• er is vastgelegd wie een autorisatie inregelt, opschoont en rapporteert en hoe dat gebeurt;
• er is een schema met functies-(groepen) en autorisatierollen - medewerkers;
• er is een schema autorisatierollen - toegankelijke gegevens

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

De gemeente heeft vastgelegd op welke momenten, waarvoor en hoe zij burgers om toestemming vragen voor het verwerken van persoonsgegevens en geeft de burger daarover schriftelijk en mondeling informatie in begrijpelijke taal.

De gemeente verschaft aan burgers schriftelijk en mondeling begrijpelijke informatie over het gebruik van hun persoonsgegevens, zowel in algemene zin als afgestemd op de verschillende fasen in het dienstverleningsproces. Daarbij wordt aangegeven met welk doel dit gebeurt, wie inzage heeft en wat er vervolgens met de gegevens gebeurt.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

De verwerking van persoonsgegevens staat in een goede balans tussen enerzijds procedures en anderzijds dienstverlening aan de burgers.

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

normen uit de BIG, met toetsing van Volwassenheidsmodel Informatiebeveiliging Koninklijk Nederlandse Beroepsorganisatie Accountants (NBA), 2016.
De BIG verlangt (impliciet) een niveau van 4 (meer dan gemiddeld). Op niveau 4 worden de beheersmaatregelen periodiek geëvalueerd en kwalitatief gecontroleerd.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Er is een actueel en integraal informatiebeveiligingsbeleid vastgesteld. Het beleid voldoet aan de normen zoals opgesteld in de BIO.

Het beleid is gebaseerd op een actuele GAP- en risicoanalyse.

Er zijn aanvullende richtlijnen vastgesteld waarin de diverse onderdelen van het informatiebeveiligingsbeleid nader worden ingevuld. Dat zijn onder andere richtlijnen voor gebruik van wachtwoorden, procedure of protocol datalekken, autorisaties en monitoring, mobiele datadragers, wijzigingsbeleid enz.

is het beleid conform BIO (BIG)

De gemeente heeft afdoende technische maatregelen getroffen om ongeautoriseerde interne en externe toegang te voorkomen. De technische infrastructuur voldoet aan NENISO/IEC 27001:2017, waarop de BIO is gebaseerd.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De raad kan onder andere (financiële en organisatorische) kaders stellen op informatiebeveiliging en privacy en college voert deze uit. De raad wordt gepositioneerd om de controlerende rol uit te oefenen, onder andere door middel van ENSIA.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Er zijn aanvullende richtlijnen vastgesteld waarin de diverse onderdelen van het informatiebeveiligingsbeleid nader worden ingevuld. Dat zijn onder andere richtlijnen voor gebruik van wachtwoorden, procedure of protocol datalekken, autorisaties en monitoring, mobiele datadragers, wijzigingsbeleid enz.

Het informatiemanagement op het gebied van informatiebeveiliging is adequaat en efficiënt ingericht en gekoppeld aan de PDCA-cyclus.

Checks - Audits - Evaluatie - Risicoanalyse

Het beleid is gebaseerd op een actuele GAP- en risicoanalyse.

informatie voor college / GS

-

informatie voor de raad / PS

De raad kan onder andere (financiële en organisatorische) kaders stellen op informatiebeveiliging en privacy en college voert deze uit. De raad wordt gepositioneerd om de controlerende rol uit te oefenen, onder andere door middel van ENSIA.

organisatie, werkprocessen en uitvoering

Taken en verantwoordelijkheden rond informatiebeveiliging en de bescherming van (bijzondere) persoonsgegevens zijn duidelijk belegd in de organisatie.

Het informatiemanagement op het gebied van informatiebeveiliging is adequaat en efficiënt ingericht en gekoppeld aan de PDCA-cyclus.

Er zijn aanvullende richtlijnen vastgesteld waarin de diverse onderdelen van het informatiebeveiligingsbeleid nader worden ingevuld. Dat zijn onder andere richtlijnen voor gebruik van wachtwoorden, procedure of protocol datalekken, autorisaties en monitoring, mobiele datadragers, wijzigingsbeleid enz.

calamiteiten en risicobeheersing

De gemeente heeft afdoende technische maatregelen getroffen om ongeautoriseerde interne en externe toegang te voorkomen. De technische infrastructuur voldoet aan NENISO/IEC 27001:2017, waarop de BIO is gebaseerd.

De procedures zoals intern afgesproken worden consequent nageleefd door medewerkers.

Er zijn aanvullende richtlijnen vastgesteld waarin de diverse onderdelen van het informatiebeveiligingsbeleid nader worden ingevuld. Dat zijn onder andere richtlijnen voor gebruik van wachtwoorden, procedure of protocol datalekken, autorisaties en monitoring, mobiele datadragers, wijzigingsbeleid enz.

Alle medewerkers gaan bewust en veilig om met vertrouwelijke informatie. De regels wat betreft vertrouwelijkheid, integriteit, beschikbaarheid en privacybescherming worden nageleefd. De gemeente zorgt ervoor dat iedere medewerker goed op de hoogte is van de regels, de risico’s en de plicht om incidenten en datalekken te melden.

bewustwording, kennis en kunde in de organisatie

Alle medewerkers gaan bewust en veilig om met vertrouwelijke informatie. De regels wat betreft vertrouwelijkheid, integriteit, beschikbaarheid en privacybescherming worden nageleefd. De gemeente zorgt ervoor dat iedere medewerker goed op de hoogte is van de regels, de risico’s en de plicht om incidenten en datalekken te melden.

beveiliging en autorisatie

Er zijn aanvullende richtlijnen vastgesteld waarin de diverse onderdelen van het informatiebeveiligingsbeleid nader worden ingevuld. Dat zijn onder andere richtlijnen voor gebruik van wachtwoorden, procedure of protocol datalekken, autorisaties en monitoring, mobiele datadragers, wijzigingsbeleid enz.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het beleid ten aanzien van informatiebeveiliging wordt gepubliceerd voor werknemers en relevante externe partijen.

Op onderdelen van informatiebeveiliging en privacy is beleid geformuleerd en zijn richtlijnen opgesteld, zoals gebruik van wachtwoorden, 2 factor authenticatie, mobiele datadragers, autorisaties en monitoring, protocol datalekken, wijzigingsbeleid enz.

De gemeente heeft gevolg gegeven aan de aanbevelingen van het Rekenkamercommissie-rapport Hoeksche Waard uit 2016.

is het beleid conform BIO (BIG)

Er vindt sturing plaats op basis van de BIO

wordt voldaan aan de AVG

De gemeente werkt conform de regels van de AVG.

budget en personele inzet

-

Sturende rol college / GS

Het college stelt het integrale beleid ten aanzien van informatiebeveiliging en privacy vast.

Het bestuur en medewerkers dragen het beleid ten aanzien van privacy actief uit.

Het bestuur en medewerkers dragen het beleid ten aanzien van informatiebeveiliging actief uit.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Het informatiebeveiligingsbeleid is opgesteld aan de hand van een GAP-analyse.

Jaarlijks wordt op basis van een risicoanalyse het informatiebeveiligingsplan ingevuld.

De gemeente neemt maatregelen om risico’s te verlagen.

Over het functioneren van informatiebeveiliging wordt gerapporteerd aan het management, bij voorkeur op basis van een ISMS (Information Security Management System)

Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de
beveiliging worden beheerd en gerapporteerd.

Op de systemen is logging geïnstalleerd en er is capaciteit aanwezig om deze te monitoren.

De gemeente heeft procedures om te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

Het ISMS, indien aanwezig, is gekoppeld aan de PDCA-cyclus

Checks - Audits - Evaluatie - Risicoanalyse

Er wordt jaarlijks een beveiligingsaudit uitgevoerd.

informatie voor college / GS

-

informatie voor de raad / PS

Over het functioneren van informatiebeveiliging wordt gerapporteerd aan de raad, in ieder geval jaarlijks in het kader van ENSIA

organisatie, werkprocessen en uitvoering

Het bestuur en medewerkers dragen het beleid ten aanzien van privacy actief uit.

De CISO is gepositioneerd en geëquipeerd om diens taak adequaat uit te voeren.

De FG is gepositioneerd en geëquipeerd om diens taak adequaat uit te voeren.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Medewerkers krijgen cursussen, trainingen e.d. hoe om te gaan met informatie.

Medewerkers weten wat ze wel en niet mogen/moeten doen met gegevens en herkennen incidenten en rapporteren deze ook daadwerkelijk.

Het bestuur en medewerkers dragen het beleid ten aanzien van informatiebeveiliging actief uit.

Medewerkers krijgen cursussen, trainingen e.d. hoe zij moeten werken conform AVG.

Het bestuur en medewerkers dragen het beleid ten aanzien van privacy actief uit.

De CISO is gepositioneerd en geëquipeerd om diens taak adequaat uit te voeren.

De FG is gepositioneerd en geëquipeerd om diens taak adequaat uit te voeren.

beveiliging en autorisatie

Gegevens zijn goed beschermd tegen ongewenste invloeden van buitenaf.

kwetsbaarheid ICT en Informatiesystemen

Gegevens zijn goed beschermd tegen ongewenste invloeden van buitenaf.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De gemeente heeft in beeld met welke partners (bijzondere) persoonsgegevens worden gedeeld met behulp van het
verwerkingsregister.

De gemeente maakt met partners en leveranciers afspraken over het veilig uitwisselen en verwerken van persoonsgegevens
en de daarvoor te nemen maatregelen, bij voorkeur op basis van 'privacy by design'.

Partners en leveranciers rapporteren jaarlijks over het verwerken van persoonsgegevens.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het college stelt het integrale beleid ten aanzien van informatiebeveiliging en privacy vast.

Er vindt sturing plaats op basis van de BIO.

Het informatiebeveiligingsbeleid is opgesteld aan de hand van een GAP-analyse. Jaarlijks wordt op basis van een risicoanalyse het informatiebeveiligingsplan ingevuld. De gemeente neemt maatregelen om risico’s te verlagen.

Op onderdelen van informatiebeveiliging is beleid geformuleerd en zijn richtlijnen opgesteld, zoals gebruik van wachtwoorden, 2 factor authenticatie, mobiele datadragers, autorisaties en monitoring, wijzigingsbeleid enz.

Gegevens zijn goed beschermd tegen ongewenste invloeden van buitenaf.

In 2021 is gestart met een nieuwe GAP- en risicoanalyse op basis waarvan een nieuw informatiebeveiligingsbeleid wordt vastgesteld.

is het beleid conform BIO (BIG)

Er vindt sturing plaats op basis van de BIO.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

Het bestuur en medewerkers dragen het beleid ten aanzien van informatiebeveiliging actief uit.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De gemeente heeft procedures om te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

De autorisaties voor toegang tot de systemen en data zijn actueel en worden periodiek gecontroleerd.

Op de systemen is logging geïnstalleerd en er is capaciteit aanwezig om deze te monitoren.

Afspraken over incidenten en datalekken zijn vastgelegd en worden gemonitord door de CISO en FG.

Op 1 december 2021 is er beargumenteerd zicht in hoeverre aanbevelingen zijn of worden overgenomen.

Van de overgenomen aanbevelingen is (het begin van) implementatie zichtbaar.

Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Het informatiebeveiligingsbeleid is opgesteld aan de hand van een GAP-analyse. Jaarlijks wordt op basis van een risicoanalyse het informatiebeveiligingsplan ingevuld. De gemeente neemt maatregelen om risico’s te verlagen.

Er worden periodiek (pen)testen uitgevoerd op de systemen en de infrastructuur.

In 2021 is gestart met een nieuwe GAP- en risicoanalyse op basis waarvan een nieuw informatiebeveiligingsbeleid wordt vastgesteld.

informatie voor college / GS

-

informatie voor de raad / PS

Over het functioneren van informatiebeveiliging wordt gerapporteerd aan de raad, op zijn minst jaarlijks in het kader van ENSIA.

De raad krijgt grote beveiligingsincidenten en datalekken gerapporteerd.

organisatie, werkprocessen en uitvoering

De maatregelen uit het jaarlijkse informatiebeveiligingsplan worden uitgevoerd.

De CISO is gepositioneerd en geëquipeerd om diens taak adequaat uit te voeren.

De teamhoofden Bedrijfsvoering en I&A zijn goed gepositioneerd en geëquipeerd om hun taak adequaat uit te voeren.

Het Information Security Management System (ISMS), indien aanwezig, is gekoppeld aan de PDCA-cyclus.

Over het functioneren van informatiebeveiliging wordt gerapporteerd aan het management, bij voorkeur op basis van een ISMS.

calamiteiten en risicobeheersing

Op onderdelen van informatiebeveiliging is beleid geformuleerd en zijn richtlijnen opgesteld, zoals gebruik van wachtwoorden, 2 factor authenticatie, mobiele datadragers, autorisaties en monitoring, wijzigingsbeleid enz.

Gegevens zijn goed beschermd tegen ongewenste invloeden van buitenaf.

Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd.

Afspraken over incidenten en datalekken zijn vastgelegd en worden gemonitord door de CISO en FG.

bewustwording, kennis en kunde in de organisatie

Het bestuur en medewerkers dragen het beleid ten aanzien van informatiebeveiliging actief uit.

Medewerkers weten wat ze wel en niet mogen/moeten doen met gegevens en herkennen incidenten en rapporteren deze ook daadwerkelijk.

beveiliging en autorisatie

Op onderdelen van informatiebeveiliging is beleid geformuleerd en zijn richtlijnen opgesteld, zoals gebruik van wachtwoorden, 2 factor authenticatie, mobiele datadragers, autorisaties en monitoring, wijzigingsbeleid enz.

De autorisaties voor toegang tot de systemen en data zijn actueel en worden periodiek gecontroleerd.

kwetsbaarheid ICT en Informatiesystemen

Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De afspraken met de externe leverancier zijn afgestemd op de rollen en taken op ICT en informatiebeveiliging die de gemeente en de externe leverancier(s) uitvoeren.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

GS en PS hebben de opdracht van PS uit 2018 uitgevoerd.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

GS en PS hebben de opdracht van PS uit 2018 uitgevoerd.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

We hebben als referentie mede gebruik gemaakt van de internationale standaarden voor informatiebeveiliging: NEN/ISO 27001 en NEN/ISO 27002. De eerste standaard (27001) biedt een richtlijn voor de implementatie en planmatige borging van informatiebeveiliging binnen de organisatie, ook wel het information security management system (ISMS) genoemd. De tweede standaard (27002) bevat een zeer uitgebreide verzameling van zogenaamde best practices voor een praktische en concrete aanpak van informatiebeveiliging binnen de organisatie. Door de Informatie-beveiligingsdienst voor gemeenten (IBD) is aan de hand van deze ISO normering de zogenaamde standaard Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) opgesteld. De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

wordt voldaan aan de AVG

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

er is een implementatieplan gericht op het voldoen aan de regels uit de AVG.

budget en personele inzet

De beschikbare middelen zijn voldoende voor het realiseren van de voorgenomen doelen en activiteiten.

• Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Als norm voor een proces van continu verbeteren wordt de toepassing van de PDCA-cyclus (cyclische manier van werken) gehanteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Voldoende zicht op de risico’s betekent:

• Er is een actuele en volledige risico-inventarisatie;
• De risico’s zijn geanalyseerd op de kans dat deze zich voordoet en het effect daarvan (inhoudelijk en financieel);
• Voor de risico’s is bepaald welke geaccepteerd worden en voor welke maatregelen worden genomen;

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

is de taakverdeling duidelijk voor de betrokken partijen?

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

Een goede uitwerking en borging betekent:

• Het beleid is vertaald in activiteiten in een volledig en actueel uitvoeringsprogramma, met per activiteit toegekende:
• bevoegdheden en verantwoordelijkheden
• beschikbare middelen (personeel en financieel). / Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.
• De uitvoering wordt actief (bijgestuurd) op basis van de principes van de PDCA-cyclus (cyclisch werken).

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Voor een goed proces van bewustwording geldt:

• De bewustwordingsacties worden gericht ingezet voor de diverse categorieën medewerkers;
• De bewustwordingsacties zijn onderdeel van een proces van continu verbeteren;
• Gegeven de steeds nieuwe veiligheidsdreigingen en -risico’s wordt de PDCA-cyclus (ook) met een hoge frequentie doorlopen.

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

beveiliging en autorisatie

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Een goede balans betekent:

• aandacht voor mogelijke tegenstellingen tussen regels en procedures rondom de bescherming van privacy en een goede dienstverlening in het privacybeschermingsbeleid en de vertaling daarvan naar de uitvoering;
• het actief uitdragen van het privacybeschermingsbeleid van bovenaf in de organisatie;
• een hoge mate van bewustzijn onder medewerkers;
• een goede informatieverstrekking aan burgers;
• het bieden van een platform aan burgers om de privacyrechten uit te kunnen oefenen;
• dat het zoeken daarnaar onderdeel is van een continu proces van verbeteren

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

GS en PS hebben de opdrachten van PS uit 2018 uitgevoerd.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

GS en PS hebben de opdrachten van PS uit 2018 uitgevoerd.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Er zijn stappen gezet waardoor sprake is van (verdere) verbetering op het gebied van informatieveiligheid.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Vandaar dat de wetgever een normenkader voor de beveiliging van deze informatie heeft vastgesteld, de Baseline Informatiebeveiliging Overheid. Afgekort, de BIO. Na een overgangsjaar (2019) heeft dit normenkader met ingang van 1 januari 2020 het vorige normenkader, de Baseline Informatiebeveiliging Gemeenten (BIG), vervangen. Daarmee hanteren alle overheidsorganen één gezamenlijk normenkader. (Wettelijk) verplichte kost dus voor iedere overheidsorganisatie, maar hoe doet het Overbetuwe het (aantoonbaar) op dit gebied?

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De provincie heeft een beleidskader informatieveiligheid:

• dat is vastgesteld op minimaal directieniveau,
• maximaal vier jaar oud is en gewijzigd is bijbelangrijke ontwikkelingen en
• gebaseerd op de Interprovinciale Baseline Informatieveiligheid.

De provincie heeft informatieveiligheid verankerd in de reguliere P&C-cyclus en geeft in het jaarverslag inzicht in de status van informatieveiligheid.

is het beleid conform BIO (BIG)

De provincie heeft een beleidskader informatieveiligheid:

• dat is vastgesteld op minimaal directieniveau,
• maximaal vier jaar oud is en gewijzigd is bijbelangrijke ontwikkelingen en
• gebaseerd op de Interprovinciale Baseline Informatieveiligheid.

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

De provincie heeft informatieveiligheid als onderdeel van de portefeuille van een lid van GS belegd.

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De provincie heeft de ‘basis’ maatregelen genomen en monitort de uitvoering daarvan.

De provincie controleert de uitvoering van de aanvullende maatregelen die uit de risicoanalyses komen.

Checks - Audits - Evaluatie - Risicoanalyse

De provincie heeft op basis van risicoanalyses bepaald welke aanvullende maatregelen zij moet nemen.

Er is inzichtelijk wat de belangrijkste kroonjuwelen zijn en wat het effect van een cyberaanval op deze kroonjuwelen kan zijn.

De provincie doorstaat de specifieke test.

Uit de test komen geen kwetsbaarheden die al bekend zijn bij de provincie en al opgelost hadden kunnen zijn.

De provincie laat periodiek een onafhankelijke toets uitvoeren op het beveiligingsniveau en de implementatiestatus van het informatieveiligheidsbeleid.

De provincie voert zelfevaluaties uit

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

Er is een duidelijke verantwoordelijkheidsverdeling voor informatieveiligheid en deze is vastgelegd.

De provincie heeft de ‘basis’ maatregelen genomen en monitort de uitvoering daarvan.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Bestuur en management van de provincie zijn zich bewust van de risico’s die ze lopen en hun verantwoordelijkheid daarin.

De provincie voert periodiek een bewustwordingsprogramma rondom informatieveiligheid uit.

beveiliging en autorisatie

De provincie neemt afdoende maatregelen voor de
fysieke beveiliging van informatie.

kwetsbaarheid ICT en Informatiesystemen

De provincie heeft de vijf informatieveiligheidstandaarden geïmplementeerd bij haar website en e-mails.

De provincie heeft de basis IT-hygiënemaatregelen (patch
management, toegangsbeheer en back ups) op orde.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het gemeentelijk beleid voldoet tenminste aan de eisen die in wet- en regelgeving worden gesteld: generiek aan de Wbp/AVG, en specifiek voor de genoemde materiewetten.

In het gemeentelijk beleid wordt ingegaan op:

• Juridische aspecten op basis van de Wbp/AVG en de materie wetten zoals: Suwi (en onderliggende regelgeving), Participatiewet, Wmo, Jeugdwet, Wet gemeentelijke schuldhulpverlening.
• Vertaling naar de beleidskaders privacy.
• Organisatie, taken en verantwoordelijkheden.
• Inrichting werkprocessen.
• De toepassing van informatiesystemen en ICT.
• De gegevens- en informatiestromen.
• De positie van en communicatie met de burger.

De gemeente hanteert landelijke standaarden, zoals de Baseline Informatiebeveiliging Gemeenten, routering via het GGK e.d.

De gemeente is bekend met de AVG, de impact daarvan en heeft een plan van aanpak voor de noodzakelijke aanpassingen die voor mei 2018 gerealiseerd moeten zijn.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Het gemeentelijk beleid voldoet tenminste aan de eisen die in wet- en regelgeving worden gesteld: generiek aan de Wbp/AVG, en specifiek voor de genoemde materiewetten.

In het gemeentelijk beleid wordt ingegaan op:

• Juridische aspecten op basis van de Wbp/AVG en de materie wetten zoals: Suwi (en onderliggende regelgeving), Participatiewet, Wmo, Jeugdwet, Wet gemeentelijke schuldhulpverlening.
• Vertaling naar de beleidskaders privacy.
• Organisatie, taken en verantwoordelijkheden.
• Inrichting werkprocessen.
• De toepassing van informatiesystemen en ICT.
• De gegevens- en informatiestromen.
• De positie van en communicatie met de burger.

De gemeente hanteert landelijke standaarden, zoals de Baseline Informatiebeveiliging Gemeenten, routering via het GGK e.d.

De gemeente is bekend met de AVG, de impact daarvan en heeft een plan van aanpak voor de noodzakelijke aanpassingen die voor mei 2018 gerealiseerd moeten zijn.

De gemeente heeft beleid voor incidenten waarbij sprake is van schending van de privacy van inwoners. Dit beleid voldoet aan de wettelijke vereisten.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

In de bestuursrapportages, programmabegroting en programmarekening wordt expliciet aandacht besteed aan de wijze waarop een correcte omgang met persoonsgegevens is gewaarborgd. Daaraan worden conclusies en maatregelen verbonden op basis van uitgevoerde controles.

Bij de ontwikkeling van het gemeentelijk beleid, bijvoorbeeld op het gebied van de decentralisaties in het sociaal domein, heeft privacy als punt op de agenda van de Raad gestaan.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Het toezicht op gebruik van persoonsgegevens is vastgelegd in een controleplan, waarin onder meer staat: hoe dit proces verloopt, de periodiciteit van de controles, wie daarbij betrokken zijn (functienamen en persoonsnamen), wie controles uitvoert, aan wie wordt gerapporteerd, hoe de resultaten worden vastgelegd, wat de criteria zijn voor vervolgstappen, welke de vervolgstappen kunnen zijn en wie die neemt. Het controleplan sluit aan op het gemeentelijk beveiligingsplan en op het Integriteitsbeleid.

De gemeente heeft een routine voor het meten en verbeteren van de bescherming persoonsgegevens en legt vast wat de bevindingen en maatregelen zijn. Deze routine is al tenminste één keer uitgevoerd.

De gemeente heeft een leer- en verbetercyclus waar privacy een apart onderdeel van uitmaakt.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In de procesbeschrijvingen en instructies (waaronder sociaal domein) is duidelijk welke functionaris welke gegevens in welke processtap mag verwerken, en onder welke condities dat mag.

calamiteiten en risicobeheersing

In de praktijk wordt gehandeld conform de wijze waarop de bescherming van de persoonsgegevens is geregeld in de relevante werkprocessen, de toewijzing van verantwoordelijkheden, de inrichting van informatiesystemen, de autorisaties, de afspraken voor de verwerking van gegevens en de afspraken over het informeren van burgers en het vragen van toestemming.

De gemeente heeft beleid voor incidenten waarbij sprake is van schending van de privacy van inwoners. Dit beleid voldoet aan de wettelijke vereisten.

bewustwording, kennis en kunde in de organisatie

De gemeente heeft vastgelegd hoe en wanneer medewerkers worden getraind in / er aandacht besteed wordt aan het onderwerp privacy.

De medewerkers zijn bekend met het gemeentelijk beleid bescherming persoonsgegevens (waaronder aangaande het sociaal domein).

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

De gemeente verschaft aan burgers schriftelijk en mondeling begrijpelijke informatie over het gebruik van hun persoonsgegevens, zowel in algemene zin als afgestemd op de verschillende fasen in het dienstverleningsproces. Daarbij wordt aangegeven met welk doel dit gebeurt, wie inzage heeft en wat er vervolgens met de gegevens gebeurt.

De gemeente informeert de burger op een toegankelijke en begrijpelijke wijze over hun privacy-rechten, zowel schriftelijk als mondeling.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Er is een privacybeleid en een informatieveiligheidsbeleid.

Het beleid wordt periodiek up-to-date gebracht.

is het beleid conform BIO (BIG)

De beleidskaders zijn gebaseerd op wetgeving (zoals de AVG), ISOstandaarden en de BIG.

De maatregelen die de gemeente neemt op het gebied van informatiebeveiliging zijn gebaseerd op de BIG

wordt voldaan aan de AVG

De beleidskaders zijn gebaseerd op wetgeving (zoals de AVG), ISOstandaarden en de BIG.

Er is rekening gehouden met de gevolgen van de AVG voor de governance-structuur (er is een FG, leidende toezichthouder)

De gemeente heeft een register van gegevensverwerkingen.

De wettelijke bewaartermijnen worden in acht genomen.

Gemeente maakt gebruik van de juiste grondslag voor het verwerken van gegevens.

Inwoners kunnen hun toestemming voor het verwerken van gegevens intrekken, indien er geen wettelijke verplichting voor de gemeente bestaat om gegevens te kunnen verwerken.

budget en personele inzet

-

Sturende rol college / GS

De rollen en verantwoordelijkheden op het gebied van informatieveiligheid/privacy zijn vastgelegd, zowel op ambtelijk als op bestuurlijk niveau.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De rollen en verantwoordelijkheden op het gebied van informatieveiligheid/privacy zijn vastgelegd, zowel op ambtelijk als op bestuurlijk niveau.

Vragen vanuit de gemeenteraad over dit onderwerp worden adequaat beantwoord.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

De gemeente heeft beveiligingsniveaus geïdentificeerd en haar systemen beveiligd.

De gemeente heeft een procedure voor het melden van datalekken.

Binnen de gemeentelijke organisatie is een controlemechanisme aanwezig dat ervoor zorgt dat er op de juiste wijze wordt omgegaan met privacygevoelige gegevens.

Mogelijke risico’s worden gesignaleerd. Hier wordt aantoonbaar actie op ondernomen.

Checks - Audits - Evaluatie - Risicoanalyse

De gemeente heeft een procedure voor het melden van datalekken.

Mogelijke risico’s worden gesignaleerd. Hier wordt aantoonbaar actie op ondernomen.

De gemeente voert jaarlijks een audit of controle uit om te beoordelen of de gemeente ‘in control’ is op het gebied van informatieveiligheid.

informatie voor college / GS

-

informatie voor de raad / PS

De gemeenteraad wordt actief geïnformeerd over de borging van informatieveiligheid binnen de gemeente en bij organisaties waar zij mee werkt.

Vragen vanuit de gemeenteraad over dit onderwerp worden adequaat beantwoord.

organisatie, werkprocessen en uitvoering

De beleidsstukken beschrijven onder andere rollen en verantwoordelijkheden, werkprocessen, veiligheidsmaatregelen.

De rollen en verantwoordelijkheden op het gebied van informatieveiligheid/privacy zijn vastgelegd, zowel op ambtelijk als op bestuurlijk niveau.

Er is ten minste één CISO en één verantwoordelijke op het gebied van privacy. Voor medewerkers binnen de gemeenten is er een duidelijk aanspreekpunt op het gebied van privacy en informatieveiligheid.

Binnen de gemeentelijke organisatie is een controlemechanisme aanwezig dat ervoor zorgt dat er op de juiste wijze wordt omgegaan met privacygevoelige gegevens.

calamiteiten en risicobeheersing

De gemeente heeft beveiligingsniveaus geïdentificeerd en haar systemen beveiligd.

De gemeente heeft een procedure voor het melden van datalekken.

Mogelijke risico’s worden gesignaleerd. Hier wordt aantoonbaar actie op ondernomen.

Wanneer van de standaard werkwijze wordt afgeweken, wordt onderbouwd waarom dit gebeurt.

bewustwording, kennis en kunde in de organisatie

In de ambtelijke organisatie wordt organisatiebreed aandacht aan privacy en informatieveiligheid besteed, bijvoorbeeld via intranet.

Informatie over privacy en informatieveiligheid maakt deel uit van het inwerkprogramma van nieuwe medewerkers.

Medewerkers ontvangen (de voor hun afdeling relevante) trainingen en communicatie omtrent privacy en informatieveiligheid.

beveiliging en autorisatie

Autorisaties voor informatiesystemen worden toegekend en verwijderd op basis van een vastgesteld proces. Dit wordt regelmatig gecontroleerd.

Binnen de gemeentelijke organisatie is een controlemechanisme aanwezig dat ervoor zorgt dat er op de juiste wijze wordt omgegaan met privacygevoelige gegevens.

Mogelijke risico’s worden gesignaleerd. Hier wordt aantoonbaar actie op ondernomen.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

De gemeente heeft met partners overeenkomsten afgesloten waarin de voorwaarden voor uitwisseling van persoonsgegevens staan.

De gemeente heeft verwerkersovereenkomsten afgesloten met organisaties die gegevens verwerken voor de gemeente.

De gemeente controleert of bovenstaande afspraken worden nageleefd.

communicatie en betrokkenheid burgers

Informatie over de wijze waarop de gemeente met privacygevoelige gegevens omgaat is makkelijk vindbaar.

Wanneer een inwoner contact zoekt met de gemeente, geeft de betreffende medewerker proactief informatie over de wijze waarop de gemeente met privacygevoelige gegevens omgaat.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

de gemeente beschikt over een actueel overkoepelend informatiebeveiligingsbeleid dat op onderdelen is uitgewerkt in specifieke procedures en/of richtlijnen.

m.b.t. datalek: op basis van de onderzoeksbevindingen heeft het college maatregelen getroffen die een soortgelijk datalek in de toekomst redelijkerwijs kunnen voorkomen

de risicoanalyses en/of dreigingsanalyses geven inzicht in
specifieke risico’s m.b.t. het beheer van (bijzondere)persoonsgegevens

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

m.b.t. eerder datalek: het college heeft de oorzaken en gevolgen van het datalek in februari 2016 afdoende onderzocht.

op basis van de onderzoeksbevindingen heeft het college maatregelen getroffen die een soortgelijk datalek in de toekomst redelijkerwijs kunnen voorkomen

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

de gemeente geeft adequaat invulling aan de PDCA-cyclus (Plan-Do-Check-Act) rond het informatiebeveiligingsbeleid.

Checks - Audits - Evaluatie - Risicoanalyse

op concernniveau en binnen de individuele clusters worden met voldoende frequentie risicoanalyses en/of dreigingsanalyses gemaakt. In de risicoanalyses en/of dreigingsanalyses zijn de belangrijkste risico’s geïdentificeerd

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

taken en verantwoordelijkheden rond informatiebeveiliging en de bescherming van (bijzondere) persoonsgegevens zijn duidelijk belegd binnen de gemeentelijke organisatie.

de gemeente geeft adequaat invulling aan de PDCA-cyclus (Plan-Do-Check-Act) rond het informatiebeveiligingsbeleid.

op concernniveau en binnen de individuele clusters worden met voldoende frequentie risicoanalyses en/of dreigingsanalyses gemaakt. In de risicoanalyses en/of
dreigingsanalyses zijn de belangrijkste risico’s geïdentificeerd

De gemeente heeft maatregelen getroffen die de risico’s doen afnemen

calamiteiten en risicobeheersing

m.b.t. eerder datalek: het college heeft de oorzaken en gevolgen van het datalek in februari 2016 afdoende onderzocht.

op basis van de onderzoeksbevindingen heeft het college maatregelen getroffen die een soortgelijk datalek in de toekomst redelijkerwijs kunnen voorkomen

De gemeente heeft maatregelen getroffen die de risico’s doen afnemen.

Het totaal aan maatregelen geeft voldoende waarborgen voor een goede bescherming van de (bijzondere) persoonsgegevens die de gemeente in beheer heeft.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

de gemeente heeft in het kader van informatiebeveiliging een actueel overzicht van alle ICT-middelen van de gemeente en de mate van vertrouwelijkheid van de informatie die daarin wordt verwerkt

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

Dienst Dommelvallei heeft adequaat gevolg gegeven aan de aansporingen en aanbevelingen van de Rekenkamercommissie Geldrop-Mierlo en heeft de inzichten ook geïmplementeerd bij de gemeente Son en Breugel.

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Uiterlijk 25 mei 2018 moesten overheden en bedrijven voldoen aan de AVG van de EU. Daartoe behoort onder andere het aanstellen van een Functionaris voor de Gegevensbescherming (FG), opstellen van een privacystatement en opstellen van een register van verwerkingsactiviteiten.

budget en personele inzet

-

Sturende rol college / GS

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

betrokkenheid samenwerkende gemeenten

Het integrale beleid op het terrein van informatiebeveiliging dient door de Colleges van B&W te worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. De colleges dragen het beleid actief uit.

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Het management stelt naar aanleiding van een GAP-analyse het informatiebeveiligingsbeleid op. Jaarlijks wordt op basis van een risicoanalyse het informatiebeveiligingsplan ingevuld.

Gemeenten hebben afgesproken te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

Checks - Audits - Evaluatie - Risicoanalyse

Ten aanzien van de beoordeling van het beveiligingsbeleid dienen er periodieke beveiligingsaudits te worden uitgevoerd. Over het functioneren van informatiebeveiliging wordt gerapporteerd aan het management.

informatie voor college / GS

Gemeenten hebben afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur (colleges en raden) wordt gerapporteerd.

informatie voor de raad / PS

Gemeenten hebben afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur (colleges en raden) wordt gerapporteerd.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

Op basis van een risicobeoordeling dient een continuïteitsplan met betrekking tot informatiebeveiliging te zijn opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz.

Er is een procedure vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd.

Vanaf 1-1-2016 moeten in het kader van de Meldplicht ernstige datalekken direct gemeld worden bij de Autoriteit Persoonsgegevens, en soms aan de betrokkenen.

bewustwording, kennis en kunde in de organisatie

Voorwaarde voor informatiebeveiliging is onder andere dat dit een verantwoordelijkheid is van het lijnmanagement en de medewerkers. Bewustwording op en kennis en expertise van risico’s zijn essentieel. Gemeenten hebben afgesproken te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Gemeenten hebben afgesproken dat risico's op informatieveiligheid die betrekking hebben op externe partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen. De AVG stelt aanvullende eisen aan de overeenkomst tussen verwerkingsverantwoordelijke, in dit geval de gemeente, en de verwerker. Bijvoorbeeld met betrekking tot het toepassen van passende technische en organisatorische maatregelen.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Informatie/gegevens zijn goed beschermd tegen inbraak van buitenaf:

• Systemen/applicaties doorstaan pentesten.
• Medewerkers hebben een thuiswerkplek met adequate beveiliging.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

De gemeente werkt risicogestuurd:

• De gemeente heeft de risico’s in beeld.
• De gemeente neemt maatregelen om de risico’s te laten afnemen.

De gemeente zorgt voor het informatiebewustzijn van medewerkers:
Er is een plan/programma voor medewerkers over informatiebewustzijn, dat medewerkers in staat stelt om op een bewuste manier om te gaan met informatie.

calamiteiten en risicobeheersing

Informatie/gegevens zijn goed beschermd tegen inbraak van buitenaf:

• Systemen/applicaties doorstaan pentesten.
• Medewerkers hebben een thuiswerkplek met adequate beveiliging.

bewustwording, kennis en kunde in de organisatie

Medewerkers gaan in de praktijk bewust met informatie/gegevens om:
Medewerkers weten wat ze wel en niet mogen/moeten doen met informatie/gegevens en herkennen incidenten, dit is te relateren aan de leerdoelen van de instructies/opleiding.

De gemeente zorgt voor het informatiebewustzijn van medewerkers:
Er is een plan/programma voor medewerkers over informatiebewustzijn, dat medewerkers in staat stelt om op een bewuste manier om te gaan met informatie.

beveiliging en autorisatie

Informatie/gegevens zijn goed beschermd tegen inbraak van buitenaf:

• Systemen/applicaties doorstaan pentesten.
• Medewerkers hebben een thuiswerkplek met adequate beveiliging.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

wordt voldaan aan de AVG

In algemene zin moet beleid duidelijkheid geven over doelstellingen, middelen en voorziene activiteiten (de 3 W-vragen).
Voor het bepalen van het volwassenheidsniveau worden de volgende normenkaders en richtlijnen gehanteerd:

• Baseline Informatiebeveiliging Overheid (BIO)
• ISO 27001: 2013
• Center for Internet Security (CIS) top 20 (versie 8)
• NIST Cybersecurity Framework (CSF) (v1.1)

er is een implementatieplan gericht op het voldoen aan de regels uit de AVG.

budget en personele inzet

De beschikbare middelen zijn voldoende voor het realiseren van de voorgenomen doelen en activiteiten.

• Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Als norm voor een proces van continu verbeteren wordt de toepassing van de PDCA-cyclus (cyclische manier van werken) gehanteerd.

Checks - Audits - Evaluatie - Risicoanalyse

Voldoende zicht op de risico’s betekent:

• Er is een actuele en volledige risico-inventarisatie;
• De risico’s zijn geanalyseerd op de kans dat deze zich voordoet en het effect daarvan (inhoudelijk en financieel);
• Voor de risico’s is bepaald welke geaccepteerd worden en voor welke maatregelen worden genomen;

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

is de taakverdeling duidelijk voor de betrokken partijen?

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

Een goede uitwerking en borging betekent:

• Het beleid is vertaald in activiteiten in een volledig en actueel uitvoeringsprogramma, met per activiteit toegekende:
• bevoegdheden en verantwoordelijkheden
• beschikbare middelen (personeel en financieel). / Advies CyberSecurityRaad 2017: 10% van het IT-budget als maatstaf nemen voor digitale veiligheid.
• De uitvoering wordt actief (bijgestuurd) op basis van de principes van de PDCA-cyclus (cyclisch werken).

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Voor een goed proces van bewustwording geldt:

• De bewustwordingsacties worden gericht ingezet voor de diverse categorieën medewerkers;
• De bewustwordingsacties zijn onderdeel van een proces van continu verbeteren;
• Gegeven de steeds nieuwe veiligheidsdreigingen en -risico’s wordt de PDCA-cyclus (ook) met een hoge frequentie doorlopen.

In vervolg op de risico-inventarisatie en analyse:

• Zijn de te nemen maatregelen uitgewerkt in een actieplan.
• Wordt actief (bij)gestuurd op de uitvoering van het actieplan volgens de principes van de PDCA-cyclus (cyclisch werken).

beveiliging en autorisatie

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Een goed geregelde toegang/autorisaties betekentdat toegang tot persoonsgegevens functiegebonden is en gebaseerd is op het ‘need to know’ principe. En dat er:

• een actuele autorisatiematrix voor de belangrijkste applicaties is;
• een monitoringsproces is ingericht, waarmee periodiek gecontroleerd wordt of de uitgegeven autorisaties nog actueel zijn;
• verwerkersovereenkomsten en/of convenanten zijn afgesloten met ketenpartners, waarin de vereisten en benodigde maatregelen met betrekking tot de gegevensuitwisseling zijn vastgelegd.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Een goede balans betekent:

• aandacht voor mogelijke tegenstellingen tussen regels en procedures rondom de bescherming van privacy en een goede dienstverlening in het privacybeschermingsbeleid en de vertaling daarvan naar de uitvoering;
• het actief uitdragen van het privacybeschermingsbeleid van bovenaf in de organisatie;
• een hoge mate van bewustzijn onder medewerkers;
• een goede informatieverstrekking aan burgers;
• het bieden van een platform aan burgers om de privacyrechten uit te kunnen oefenen;
• dat het zoeken daarnaar onderdeel is van een continu proces van verbeteren

extern leren

-

Beleid informatiebeveiliging en privacybescherming

In de BIG is afgesproken, dat het integrale beleid op het terrein van informatiebeveiliging door de colleges van B&W moet worden vastgesteld en gepubliceerd voor werknemers en relevante externe partijen. Het beleid is risico gebaseerd en een verantwoordelijkheid van het lijnmanagement. Deze stelt op basis van een analyse en assessments de risico's vast.

In de BIG hebben gemeenten afgesproken dat het informatiebeveiligingsbeleid eens in de drie jaar, of zodra zich belangrijke wijzigingen voordoen, wordt geëvalueerd.

is het beleid conform BIO (BIG)

In de BIG is afgesproken dat op basis van een risicobeoordeling een continuïteitsplan met betrekking tot informatiebeveiliging wordt opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz.

In de BIG hebben gemeenten afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van de P&C-cyclus.

In de BIG zelf staat niets over rapporteren aan waarstaatjegemeente.nl over het thema informatieveiligheid.

wordt voldaan aan de AVG

Uiterlijk 25 mei 2018 moeten overheden en bedrijven voldoen aan de AVG van de EU. Daartoe behoort onder andere het aanstellen van een Functionaris voor de gegevensbescherming (FG).

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

In de BIG is afgesproken dat op basis van een risicobeoordeling een continuïteitsplan met betrekking tot informatiebeveiliging wordt opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz.

In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In de BIG hebben gemeenten afgesproken dat over het functioneren van de informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van de P&C-cyclus.
In de BIG zelf staat niets over rapporteren aan waarstaatjegemeente.nl over het thema informatieveiligheid.

In de Resolutie van de VNG staat dat gestreefd wordt naar transparantie en dat deze onder meer bereikt wordt door gebruik te maken van waarstaatjegemeente.nl

calamiteiten en risicobeheersing

In de BIG is afgesproken dat op basis van een risicobeoordeling een continuïteitsplan met betrekking tot informatiebeveiliging wordt opgesteld. Daarmee worden essentiële procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie van informatie enz.

In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.

Aansluiting op de IBD ( Informatiebeveiligingsdienst voor gemeenten) is niet geregeld in de BIG zelf. De algemene en vertrouwde contactpersonen informatiebeveiliging (Algemene Contactpersoon Informatiebeveiliging [ACIB] en Vertrouwde Contactpersoon Informatiebeveiliging [VCIB]) van de gemeente kunnen aangesloten zijn bij de IBD. Dat is belangrijk, omdat de IBD meldingen van beveiligingsincidenten verzamelt en doorgeeft aan deze contactpersonen. En de IBD waarschuwt voor bedreigingen, zoals lekken in software.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

In de BIG hebben gemeenten afgesproken dat risico's op informatieveiligheid die betrekking hebben op externe partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen.

Ten aanzien van de beoordeling van het beveiligingsbeleid is in de BIG geregeld dat er
periodieke beveiligingsaudits worden uitgevoerd. Over het functioneren van informatiebeveiliging wordt volgens de P&C-cyclus gerapporteerd aan het lijnmanagement. Voor rapportage aan gemeenteraden geeft de BIG geen richtlijnen.

In de BIG is afgesproken om te leren van beveiligingsmeldingen met als doel beheersmaatregelen te verbeteren. Als randvoorwaarde is in de BIG onder andere geformuleerd dat informatieveiligheid een verantwoordelijkheid is van het lijnmanagement en dat kennis en expertise essentieel zijn.

Aansluiting op de IBD ( Informatiebeveiligingsdienst voorgemeenten) is niet geregeld in de BIG zelf. De algemene en vertrouwde contactpersonen informatiebeveiliging (Algemene Contactpersoon Informatiebeveiliging [ACIB] en Vertrouwde Contactpersoon Informatiebeveiliging [VCIB]) van de gemeente kunnen aangesloten zijn bij de IBD. Dat is belangrijk, omdat de IBD meldingen van beveiligingsincidenten verzamelt en doorgeeft aan deze contactpersonen. En de IBD waarschuwt voor bedreigingen, zoals lekken in software.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-