Organisatie | WerkSaam Westfriesland |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Informatiebeveiligingsbeleid Suwinet |
Citeertitel | Informatiebeveiligingsbeleid Suwinet |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
19-11-2015 | 04-02-2019 | Onbekend | 08-10-2015 Blad Gemeenschappelijke Regeling | Onbekend |
Dit informatiebeveiligingsbeleid Suwinet is een aanvulling op het organisatie brede informatiebeveiligingsbeleid. Iedere gemeente moet in een beveiligingsplan aangeven op welke wijze invulling is gegeven aan de beveiliging van de gegevensuitwisseling in het kader van Suwinet.
De organisaties die Suwinet gebruiken zijn verplicht zich te houden aan de eisen voor privacy en beveiliging. De Wet Bescherming Persoonsgegevens en de Suwi-wetgeving is hierop van toepassing. Het normenkader is te vinden in bijlage 1 Normenkader.
Hieronder is beschreven wie welke rol heeft in de informatiebeveiliging:
In bijlage 2 Gebruikers Suwinet is beschreven welke rollen voor welke taken autorisatie kunnen krijgen.
rapporteert bevindingen rechtstreeks aan het hoogste management.
Voor het werken en omgaan met persoonsgebonden gegevens binnen de overheid zijn in de Wet bescherming persoonsgegeven (Wbp) regels opgesteld. Binnen de wet Suwi zijn geheimhoudingsbepalingen opgenomen waarin is bepaald dat de persoonsgegevens niet verder bekend gemaakt mogen worden dan voor de uitoefening van de functie noodzakelijk is. Daarnaast is artikel 125a van de ambtenarenwet geheimhouding opgelegd aan ambtenaren. Vaste, tijdelijke en externe medewerkers van de gemeente Hoorn en WerkSaam met een autorisatie voor Suwinet-Inkijk moeten een zorgvuldigheidsverklaring (zie bijlage 3) ondertekenen.
De wijze waarop de autorisaties worden toegekend, gewijzigd of ingetrokken is nader geregeld in de Autorisatieprocedure Suwinet (zie bijlage 4).
Om de bewustwording te vergroten onder de medewerkers worden de volgende acties uitgevoerd:
Het informatiebeveiligingsbeleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. De geconstateerde afwijkingen worden vastgelegd in de evaluatie en er wordt een voorstel ter voorkoming van de afwijkingen gedaan. De beveiligingscoördinator biedt de evaluatie ter vaststelling aan het hoogste management aan.
Het Bureau Keteninformatiesering Werk en Inkomen (BKWI) stelt geanonimiseerde rapporten op met log gegevens van het gebruik van Suwinet-Inkijk (welke gegevens zijn hoe vaak geraadpleegd). Aan de hand van deze rapporten controleert de beveiligingscoördinator periodiek of er onjuist gebruik of misbruik is gemaakt van Suwinet-Inkijk. Als het vermoeden van ongeoorloofd gebruik van dat medium bestaat kan specifieke informatie per onderdeel of per medewerker bij het BKWI worden opgevraagd.
(Vermoedens van) beveiligingsincidenten worden gemeld bij de beveiligingscoördinator, waarna er een onderzoek wordt ingesteld. Indien uit onderzoek blijkt dat incidenten gegrond zijn, worden deze direct gerapporteerd aan de directie. Overige vermoedens en onderzoeken worden meegenomen in de jaarlijkse evaluatie.
In de onderstaande tabel wordt per functie aangegeven in welke gevallen Suwinet-Inkijk gebruikt mag worden. We spreken in die gevallen van geoorloofd gebruik. Wordt Suwinet om andere redenen gebruikt dan hieronder verwoord, dan is er in principe sprake van ongeoorloofd gebruik. Raadplegen van Suwinet-Inkijk in andere situaties wordt gemotiveerd in de rapportage.
Er is een zodanig onderscheid gemaakt in functie en rol binnen de autorisatiestructuur van Suwinet dat de medewerker de voor hem/haar van belang zijnde gegevens kan raadplegen.
Bijlage 3. Zorgvuldigheidsverklaring
Naam: …………………………………………………………………………………………………….
Organisatie: …………………………………………………………………………………………………….
Functie: …………………………………………………………………………………………………….
…………………………………………………………………………………………………….
Bijlage 4. Autorisatieprocedure Suwinet
Deze procedure maakt deel uit van het Informatiebeveiligingsbeleid Suwinet. Deze procedure voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn voor het autoriseren van personen voor de toegang tot Suwinet. Hiermee wordt de logische toegangsbeveiliging afgedicht voor de daarin opgenomen gegevens en de vertrouwelijkheid gewaarborgd indien het raadplegen door medewerkers plaatsvindt.
De procedure bestaat uit afzonderlijke deelprocedures die gescheiden kunnen worden uitgevoerd:
Functiewijziging of einde dienstverband/opdracht
De controle, bevindingen en rapportage wordt digitaal gearchiveerd.