Portefeuillehouder
L. van der Maas

Informatiebeveiliging en Privacy.

InformatieBeveligingsbeleid, doelstellingen en afspraken

De belangrijkste gemeentelijke doelstellingen van het informatiebeveiligings- en privacybeleid zijn:

  • zorgvuldig omgaan met informatie;
  • zorgen voor betrouwbare en actuele gegevens;
  • betrouwbare en continue dienstverlening;
  • voldoen aan wet- en regelgeving (zoals die voor privacy);
  • beheersen van risico’s (Governance, Risk en Compliance).

Om dit te verwezenlijken heeft de gemeente als belangrijkste ambities:

  • de ambitie om te voldoen aan de Baseline Informatieveiligheid Gemeenten (BIG) als basisnormenkader;
  • bewustzijn en belang van informatieveiligheid onder de medewerkers vergroten;
  • het nakomen van de afspraken over de verantwoording middels de Eenduidige Normatiek Single Information Audit (ENSIA);
  • het voldoen aan wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).

Algemeen beeld en resultaten afgelopen periode

De gemeente Nunspeet als organisatie is zich al lange tijd bewust van het belang van informatiebeveiliging en de verantwoordelijkheid voor het goed omgaan met gegevens die ons zijn toevertrouwd. De toepassing van technische maatregelen is om die reden op een hoog niveau. Informatieveiligheid is echter niet alleen een kwestie van techniek, maar zeker ook van het informatiebewustzijn bij de medewerkers. Statistisch gezien is misbruik van informatie meestal het gevolg van onbewust handelen van medewerkers. Om die reden is er in 2017 de nodige aandacht besteed aan awareness.

Disclaimer

Afgelopen jaar is de informatieveiligheid bij overheden regelmatig in het nieuws geweest. Dit heeft niet alleen te maken met het toenemen van het aantal incidenten, maar zeker ook met de toenemende aandacht voor het onderwerp. Het invoeren van de maatregelen uit de BIG is geenszins een garantie dat beveiligingsincidenten niet voor zullen komen. Enerzijds moeten de maatregelen doorlopend worden afgestemd op de ontwikkelingen op dit gebied, anderzijds zijn de maatregelen vergelijkbaar met de maatregelen die worden getroffen voor de beveiliging van een woning. De maatregelen moeten voldoende bescherming bieden tegen onbevoegde toegang, maar 100% garantie dat dit niet zal plaatsvinden kan niet worden gegeven.

Beheersmaatregelen Informatie Beveiliging (IB)

Een overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de IB-doelstellingen:

Organisatie en Taken, Bevoegdheden en Verantwoordelijkheden (TBV’s), awareness.

De Organisatie van de informatieveiligheid is geactualiseerd in verband met de wijzigingen in de organisatie. Hiertoe zijn de TBV’s opnieuw vastgesteld. Er is structureel overleg ingevoerd met zowel de directie als met de verantwoordelijk portefeuillehouders zodat zij voortdurend bekend zijn met de actuele stand van zake.

Voor wat betreft de awareness is een i-bewust campagne gestart middels een startbijeenkomst gevolgd door e-learningsmodules.

Organisatorische en technische maatregelen.

Eén van de zorgpunten was het verantwoord uitwisselen van informatie. Om deze uitwisseling eenvoudiger te maken is in 2017 een technische oplossing ingevoerd voor het beveiligd mailen. Deze oplossing is begin 2018 operationeel gekomen.

Information Security Management System (ISMS).

Nunspeet heeft een managementsysteem aangeschaft om de procedures en protocollen met betrekking tot informatieveiligheid (ISMS) actueel te kunnen houden en om periodieke acties zoals controles te kunnen plannen en bewaken.

Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico’s)

In 2015 is het Informatiebeveiligingsplan vastgesteld. Dit plan was er op gericht om de implementatie van de BIG in 2018 te voltooien. Voor 2017 stonden onder andere het beheersen van risico’s bij derden, toegangsbeleid (zowel toegang tot applicaties als de fysieke toegang) en bedrijfscontinuïteit gepland. Met beheersen van risico’s bij derden is een aanzet gemaakt door het sluiten van bewerkersovereenkomsten. Het toegangsbeleid is gerealiseerd. De eerste aanzet voor de maatregelen voor het borgen van de bedrijfscontinuïteit is gemaakt. De benodigde middelen voor het realiseren van deze maatregelen zijn voor 2018 beschikbaar gesteld.

In de periode 2015-1017 is een achterstand in de uitvoering van de beschreven maatregelen opgetreden. Dit is veroorzaakt door personele wisselingen en beperkte inzet op dit thema. Een van de opgelopen achterstanden die inmiddels is ingelopen is het inrichten van mobiele devices op basis van “zero footprint”.

Het informatiebeveiligingsbeleid is afgelopen jaar in samenspraak met onze externe adviseur geactualiseerd en geprioriteerd op basis van het nu geldende risico’s. De implementatie zal in 2019 worden afgerond. De voortgang van realisatie van het plan wordt geregistreerd en gevolgd in het ISMS.

In 2017 is deelgenomen aan de verantwoording middels ENSIA. De uitkomsten van de onderdelen Suwinet en DigiD zijn aan een externe auditor voorgelegd voor verificatie.

Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet

Naast de horizontale verantwoording over de informatiebeveiliging aan de Raad moet ook verticaal verantwoording worden afgelegd richting ministeries. Afgelopen jaar is hiervoor voor de eerste maal het instrument ENSIA ingezet. Het college heeft een collegeverklaring opgesteld over de evaluatie DigiD en SUWInet en deze aan een externe auditor ter toetsing voorgelegd. De verantwoording over de Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling Nederland (PUN) zijn middels separate zelfevaluaties uitgevoerd. Voor de zelfevaluaties Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT) bestaat op dit moment weliswaar geen wettelijke grondslag, maar zijn wel door ons uitgevoerd. De resultaten zijn ingediend bij het ministerie.

Incidenten

In 2017 hebben zich meerdere incidenten voorgedaan. Het betreft onder andere datalekken, maar ook de dreiging van virussen:

Datalekken:

Er zijn in 2017 vier datalekken gemeld. Het betroffen een inbraak in de server van een externe verwerker, een onzorgvuldige publicatie bij een aanbesteding en het onjuist versturen van brieven en een mail. Van drie van de vier incidenten is melding gemaakt bij de Autoriteit Persoonsgegevens (AP) omdat er bijzondere persoonsgegevens in het geding waren. In die gevallen zijn ook de betrokkenen van wie de persoonsgegevens gelekt zijn geïnformeerd. Het betrof in totaal 149 personen.

Beveiligingsincident

Bij de implementatie van een nieuwe applicatie is geconstateerd dat gegevens van inwoners, waaronder persoonsgegevens, via een niet-beveiligde verbinding zijn uitgewisseld. Gelet op de incidentele aard van de uitwisseling en de specifieke inrichting van de koppeling is het niet waarschijnlijk dat het berichtenverkeer is ingezien. Omdat andere gemeenten dezelfde applicaties gebruiken is het voorval gemeld bij de Informatiebeveiligingsdienst (IBD) en de (AP). Aangezien het een beveiligingsincident betreft en niet een feitelijk datalek, zijn de inwoners niet geïnformeerd.

Virusaanvallen

Voor gemeenten geldt net als voor andere organisaties dat zij bedreigd worden door onder andere Ransomware-aanvallen. De bekendste aanval van het afgelopen jaar betreft de cryptolocker WanaCry. Alhoewel de bedrijfsvoering van de gemeente niet door het virus is getroffen, heeft de aanval wel aanleiding gegeven het patchingbeleid aan te scherpen.

Meerjarenperspectief

Uit bovenstaande beschrijving blijkt dat al veel maatregelen uit de BIG zijn geïmplementeerd. Voor 2018 is de aandacht gericht op het vastleggen van de maatregelen in protocollen en op het treffen van voorzieningen om de continuïteit bij calamiteiten te garanderen.

In 2019 is gepland de implementatie van de BIG-maatregelen af te ronden met onder andere de implementatie van netwerk-monitoring.

Ten aanzien van Privacy geldt dat de inspanningen gericht zijn op de implementatie van de AVG, die op 25 mei 2018 in werking treedt. De gemeente moet voor die datum onder andere een Functionaris Gegevensbescherming benoemen. De inzet is er op gericht deze functie in NEO-verband in te vullen.