| Organisatie | Zwijndrecht |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | INFORMATIEBEVEILIGINGSHANDBOEK SUWINET VOOR BURGERZAKEN ZWIJNDRECHT 2019 |
| Citeertitel | |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
artikel 3.8 van de Wet basisregistratie personen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 04-03-2020 | nieuwe regeling | 19-11-2019 | 2019-15776 |
De gemeente is verantwoordelijk voor een goede kwaliteit van gegevens in de Basisregistratie Personen (BRP). Een van de middelen om een goede kwaliteit adresgegevens te realiseren is het gebruik van Suwinet voor Burgerzaken. Via Suwinet-Inkijk vraagt de gemeente informatie over de – bij andere instanties - bekende adresgegevens en is daarmee onderdeel van de procedure Adresonderzoeken. Een inkijk als deze is handig voor het realiseren van een goede kwaliteit adresgegevens, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen erop dat hun privacy wordt beschermd en dat er alles aan wordt gedaan om misbruik te voorkomen.
Omdat medewerkers met persoonsgegevens werken, is zorgvuldig en integer gebruik van deze gegevens erg belangrijk. De medewerkers die geautoriseerd zijn voor Suwinet voor Burgerzaken, zijn gehouden aan de strenge regels rondom het zorgvuldig en integer gebruiken van de gegevens, welke gelden voor de BRP.
Onverkort gelden ook de regels vanuit de Algemene Verordening Gegevensbescherming (AVG) met betrekking tot handhaving vanaf 25 mei 2018.
Vanuit het SUWI-normenkader is bepaald dat een gemeente dient te beschikken over een beveiligingsplan specifiek gericht op het gebruik van Suwinet of dat een op Suwinet specifieke passage is opgenomen in een algemene plan. In verband met de samenwerkingsverband van de Drechtsteden is gekozen voor een specifieke beveiligingsplan gericht op het gebruik van Suwinet. Dit betekent dat dit beveiligingsplan niet ingaat op onderwerpen zoals:
Immers, er is geen sprake van een systeem, maar van een beveiligde web-applicatie, welke beschikbaar wordt gesteld door het Bureau Keteninformatisering Werk en Inkomen (BKWI).
Aangezien Suwinet voor Burgerzaken voornamelijk bij de balies wordt gebruikt, zijn wel de geldende regels rondom toegang opgenomen. Verder is en blijft informatiebeveiliging met name mensenwerk. Zodanig is dit document ook geschreven op een wijze dat waarde biedt voor functionarissen op verschillende niveaus zoals het management, beheerders, gebruikers en controleurs.
c. Samenhang met het informatiebeveiligingshandboek BRP en Waardedocumenten
De Inkijk Suwinet voor Burgerzaken wordt, zoals gezegd, uitsluitend gebruikt voor het inzien van adresgegevens in het kader van onderzoeken adres. Het behoeft geen nadere uitleg dat de adresgegevens onderdeel zijn van een Basisregistratie waar veel afnemers gebruik van maken en onjuiste (gedateerde) informatie van adressen kan leiden tot fraude door een ingezetene.
Omdat er sprake is van een uitsluitend gebruik van Suwinet voor Burgerzaken voor adresgegevens in het kader van onderzoeken adres, is het Handboek Beveiliging BRP ook van toepassing op het gebruik deze inkijk en de gegevens die hieruit worden gebruikt. De procedure voor adresonderzoeken is een verantwoordelijkheid van het hoofd van de afdeling Gemeentewinkel. Dit beveiligingshandboek Suwinet voor Burgerzaken is derhalve door het College vastgesteld. Wijzigingen in dit Handboek, die afdeling-overstijgend zijn, worden door het afdelingshoofd meegenomen naar het Managementteam.
Om deze reden wordt ook verantwoording afgelegd aan de portefeuillehouder, verantwoordelijk voor de BRP (in het geval van de gemeente Zwijndrecht is dit de burgemeester). Wijzigingen in dit Handboek, die een grotere reikwijdte hebben dan de taken van de portefeuillehouder, worden door de portefeuillehouder meegenomen naar het College.
Dit document dient als het informatiebeveiligingsplan waarin staat beschreven wat de maatregelen zijn ter bescherming van de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van het gebruik van persoonsgegevens via Suwinet voor Burgerzaken. Dit Handboek wordt met ingang van 2018 voortaan jaarlijks beoordeeld, zo nodig aangepast en aangescherpt en tevens jaarlijks vastgesteld. Als actiepunt voor 2018 is verdere verfijning van de bepalingen in Handboek op basis van de input uit de eerste audit in het kader van ENSIA in januari 2018. Dit wordt in gezamenlijkheid met de andere gemeenten in de regio Drechtsteden opgepakt en met de collega's van CIO-office Drechtsteden.
Door middel van het beveiligingsplan toont de gemeente Zwijndrecht aan op welke wijze het voldoet aan de 7 normen van de Inspectie SZW die gelijk staan aan het voldoen aan ‘Veilig Suwinet’. Het voldoen aan deze normen draagt aanzienlijk bij het beperken van het risico op onrechtmatig gebruik binnen de organisatie. De normen omvatten het voldoen aan tenminste de volgende eisen:
De organisatie heeft een Security Officer toegewezen dat belast is met het bevorderen en adviseren over de beveiliging van Suwinet. Daarnaast controleert deze functionaris samen met leidinggevende of de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassingen van plannen op het gebied van de beveiliging van Suwinet.
Voor de overige normen geldt overigens nog steeds het vigerende algemene informatiebeveiligingsplan. De actualisatie daarvan zal meegenomen worden in het verder professionaliseren van de informatiebeveiliging in regionaal verband zoals dat nu door het CIO-office wordt opgezet. Daarbij komen dan ook de andere normen aan bod voor actualisatie. Informatiebeveiliging is iets waar voortdurend aan wordt gewerkt. Dit is derhalve geen statisch document, dat periodiek dient te worden beoordeeld op actualiteit en dus mogelijk regelmatig aanpassing behoeft.
Enkele documenten dienen onderdeel te zijn van dit Handboek. Dit zijn in dit geval de aanvraag om Suwinet te verkrijgen (als bijlage 1f.a. opgenomen), de informatie met betrekking tot geregistreerde personen conform de functies voor Suwinet (als bijlage 1f.b. opgenomen) en de geregistreerde gebruikers die Suwinet kunnen inkijken (als bijlage 1f.c. opgenomen).
2. Regionale en lokale maatregelen rondom Informatieveiligheid
De in dit Handboek opgenomen maatregelen staan niet los van reeds genomen maatregelen rondom Informatieveiligheid die regionaal en lokaal zijn genomen. Hieronder worden de belangrijkste maatregelen genoemd, die betrekking hebben op een veilig gebruik van de gegevens. Zo gelden de regels rondom wachtwoorden om eerst toegang te krijgen tot de beveiligde regionale werkomgeving en is het opvragen van informatie uit Suwinet niet toegestaan via een thuiswerkplek of buiten het netwerk van de Drechtsteden om.
Omdat gegevens uit Suwinet vooral bij de balies worden gebruikt zijn de volgende maatregelen voor toegangsbeheer van toepassing:
Deze hierboven genoemde documenten zijn reeds opgenomen in het informatiebeveiligingshandboek BRP en Waardedocumenten 2019.
3. Organisatie en verantwoordelijkheden
De medewerkers van het team Publiekscontacten zijn verantwoordelijk voor het uitvoeren van adresonderzoeken conform de BRP. Het team is onderdeel van de afdeling Gemeentewinkel.
De organisatie en verantwoordelijkheden rondom Suwinet kent taken die betrekking hebben op het gebruik, beheer en toezicht van het werken. Het is van groot belang dat de voorgenoemde taken duidelijk gescheiden van elkaar zijn belegd. De taken mogen dus in geen enkele geval worden gecombineerd. Dit ter voorkoming dat mensen hun directe collega’s of zelfs zichzelf moeten controleren, wat de effectiviteit van de controle onderuit zou halen. Het gebruik is afhankelijk van de functie (Applicatiebeheerder en Medewerker Frontoffice Balie kunnen slechts in dit systeem). Rechten worden toegekend of verwijderd bij indiensttreding dan wel uitdiensttreding in genoemde functies.
De volgende taken zijn belegd binnen het team / de afdeling.
De functie “medewerker Frontoffice balie” is gelijk aan de gebruikte functienaam binnen het Handboek Beveiliging BRP. Slechts de applicatiebeheerders en de medewerkers Frontoffice balie hebben toegang tot Suwinet voor Burgerzaken.
Voor iedere medewerker die in dienst treedt voor het uitvoeren van werkzaamheden in het kader van de Wet Basisregistratie Personen (Wet BRP) geldt dat deze personen – ongeacht in vaste dienst of op basis van inhuur – een geheimhoudingverklaring ondertekenen, een VOG overleggen en de eed of belofte in handen van de burgemeester afleggen. Dit is reeds vastgelegd in het Informatiebeveiligingsplan BRP en Waardedocumenten 2019 (vastgesteld door het College op 19 november 2019)
Het hoofd van de afdeling Gemeentewinkel is procesverantwoordelijke voor de adresonderzoeken in het kader van het bijhouden van een goede BRP. Het hoofd van de afdeling zorgt er met de teamleider voor dat een goede en gedegen structuur is gerealiseerd waarbinnen de werkzaamheden in het kader van onder andere deze taak worden uitgevoerd.
Jaarlijks rapporteert het hoofd van de afdeling, of bij diens afwezigheid de teamleider, de portefeuillehouder over het gebruik van Suwinet voor Burgerzaken en over mogelijke verbeteringen in het kader van Informatieveiligheid. Oneigenlijk gebruik, zoals fraude, misbruik of dwang wordt direct gerapporteerd.
De teamleider zorgt met het afdelingshoofd voor een goede en gedegen structuur voor de uitvoering van werkzaamheden in het kader van onder andere de adresonderzoeken. De teamleider heeft geen toegang tot Suwinet voor Burgerzaken en is daarmee onafhankelijk van de uitvoering. Daarnaast zorgt de teamleider voor controle op de werkzaamheden. De controlerende taken komen in twee mate voor. Enerzijds dient er een functionaris te zijn belast met het analyseren van de gebruiksrapportages (teamleider) om vervolgens zijn bevindingen te delen met de Security Officer. Deze laatste functionaris staat los van de lijnverantwoordelijkheid.
Anderzijds is er de teamleider die invulling geeft aan het beveiligingsbeleid en verantwoordelijk is voor de uitvoering conform de normen. Hieronder valt onder andere:
Vanuit het SUWI-normenkader is het vastgesteld dat er controle dient te plaatsvinden op verleende toegangsrechten en gebruik. BKWI stelt hiervoor rapportages ter beschikking. Op basis van deze rapportages is het de taak van de teamleider en de Security Officer om het gebruik te controleren op (vermoedelijk) misbruik en constateringen hiervan schriftelijk aan het afdelingshoofd te rapporteren. Indien er een vermoeden van misbruik bestaat, kan een specifieke rapportage worden opgevraagd. Deze controle vindt voortaan meerdere malen per jaar plaats. Zowel de teamleider (in de lijn) als de Security Officer melden gezamenlijk het gebruik en oneigenlijk gebruik aan het afdelingshoofd.
Jaarlijks rapporteert het hoofd van de afdeling, of bij diens afwezigheid de teamleider, de portefeuillehouder over het gebruik van Suwinet voor Burgerzaken en over mogelijke verbeteringen in het kader van Informatieveiligheid. Oneigenlijk gebruik, zoals fraude, misbruik of dwang wordt direct gerapporteerd.
Omwille van de continuïteit zijn er minimaal 2 personen aangewezen als applicatiebeheerder, zoals bedoeld voor de inkijk Suwinet voor Burgerzaken.
De applicatiebeheerder neemt kennis van dit Informatiebeveiligingsplan BRP en Waardedocumenten 2019, derhalve ook van onderstaande en tekent voor gezien op de parafenlijst behorende bij dit Handboek. Rapportagegegevens BKWI ontwikkelt rapportages omtrent het gebruik van Suwinet. BKWI is wettelijk verplicht om gegevens te registreren waarmee het gebruik per medewerker kan worden nagegaan. Hierbij worden de volgende gegevens geregistreerd:
Gebruikers (applicatiebeheerders en medewerkers Frontoffice balie) moeten weten dat vanuit het beveiligingsoogpunt gegevens over hen worden verzameld en vastgelegd. Medewerkers die (gaan) werken met Suwinet moeten op de hoogte zijn van:
Gegevens die bij het inloggen en gebruik van Suwinet voor Burgerzaken worden geregistreerd door BKWI zijn:
Het doel van deze registratie is tweeledig:
De applicatiebeheerder oefent taken uit, betrekking hebben op werkzaamheden behorende tot de werkzaamheden BRP. De applicatiebeheerder heeft hiervoor een geheimhoudingsverklaring getekend en een integriteitsverklaring afgelegd. De applicatiebeheerder wordt geacht integer en zorgvuldig met de informatie uit Suwinet om te gaan en geen oneigenlijk gebruik van Suwinet te maken. Met oneigenlijk gebruik wordt bedoeld het opzoeken (en zo nodig verspreiden) van informatie uit Suwinet met een ander doel dat het gebruiken van Suwinet voor Burgerzaken ten behoeve van het uitvoeren van adresonderzoeken.
Gebruik voor andere doeleinden is dus absoluut niet toegestaan. Dat geldt ook voor het doorleveren van gegevens. Fraude en misbruik, alsmede het verstrekken van informatie onder dwang door de autorisatie-verantwoordelijke blijkt uit de rapportages van het BKWI. Afhankelijk van het soort oneigenlijk gebruik worden passende maatregelen genomen conform de bepalingen in artikel 16 van de CAR-UWO. Dit ter beoordeling van de teamleider en het afdelingshoofd.
Het behoort tot de vaste taken van de medewerker Frontoffice Balie (BRP) om adresonderzoeken uit te voeren. De applicatiebeheerder autoriseert en verwijdert autorisaties al naar gelang de medewerker als medewerker Frontoffice balie in dienst of uit dienst treedt. De applicatiebeheerder autoriseert binnen een week na indiensttreding van de medewerker en binnen een week na uitdiensttreding van de medewerker. De teamleider of het afdelingshoofd informeert de applicatiebeheerder uiterlijk een week voor aanvang over indiensttreding en uitdiensttreding van de medewerker.
Jaarlijks controleert de applicatiebeheerder de actualiteit van de registratie en rapporteert hierover schriftelijk aan de teamleider.
De gemandateerde is verantwoordelijk voor het opvragen van gebruiksrapportages Suwinet en het onderhouden van contacten met BKWI. De gemandateerde neemt in geval van calamiteiten contact op met de Suwidesk van BKWI via suwidesk@bkwi.nl of 0800-78943375. Bij afwezigheid van de gemandateerde neemt de Security Officer deze taak op zich.
De controlerende taken komen in twee mate voor. Enerzijds dient er een functionaris te zijn belast met het analyseren van de gebruiksrapportages (teamleider) om vervolgens zijn bevindingen te delen met de Security Officer. Deze functionaris staat los van de lijnverantwoordelijkheid.
De gemandateerde neemt in geval van calamiteiten contact op met de Suwidesk van BKWI via suwidesk@bkwi.nl of 0800-78943375. Bij afwezigheid van de gemandateerde neemt de Security Officer deze taak op zich.
Vanuit het SUWI-normenkader is het vastgesteld dat er controle dient te plaatsvinden op verleende toegangsrechten en gebruik. BKWI stelt hiervoor rapportages ter beschikking. Op basis van deze rapportages is het de taak van de teamleider en de Security Officer om het gebruik te controleren op (vermoedelijk) misbruik en constateringen hiervan schriftelijk aan het afdelingshoofd te rapporteren. Indien er een vermoeden van misbruik bestaat, kan een specifieke rapportage worden opgevraagd. Deze controle vindt voortaan meerdere malen per jaar plaats. Teamleider en Security Officer melden het gebruik en oneigenlijk gebruik aan het afdelingshoofd.
De beveiligingsfunctionaris is verantwoordelijk voor de onafhankelijke controle op Informatiebeveiliginghandboek voor BRP, Suwinet Inkijk en Waardedocumenten. In dit Handboek is deze functie verder beschreven.
De medewerker Frontoffice balie
Omwille van de continuïteit zijn er minimaal 2 personen aangewezen als medewerker Frontoffice balie, zoals bedoeld voor de inkijk Suwinet voor Burgerzaken.
De medewerker Frontoffice balie neemt kennis van dit Informatiebeveiligingsplan BRP en Waardedocumenten 2019, derhalve ook van onderstaande en tekent voor gezien op de parafenlijst behorende bij dit Handboek. Rapportagegegevens BKWI ontwikkelt rapportages omtrent het gebruik van Suwinet. BKWI is wettelijk verplicht om gegevens te registreren waarmee het gebruik per medewerker kan worden nagegaan. Hierbij worden de volgende gegevens geregistreerd
Gebruikers (applicatiebeheerders en medewerkers Frontoffice balie) moeten weten dat vanuit het beveiligingsoogpunt gegevens over hen worden verzameld en vastgelegd. Medewerkers die (gaan) werken met Suwinet moeten op de hoogte zijn van:
Gegevens die bij het inloggen en gebruik van Suwinet voor Burgerzaken worden geregistreerd door BKWI zijn:
Het doel van deze registratie is tweeledig:
De medewerker Frontoffice balie oefent taken uit, betrekking hebben op werkzaamheden behorende tot de werkzaamheden BRP. De medewerker Frontoffice balie heeft hiervoor een geheimhoudingsverklaring getekend en een integriteitsverklaring afgelegd. De medewerker Frontoffice balie wordt geacht integer en zorgvuldig met de informatie uit Suwinet om te gaan en geen oneigenlijk gebruik van Suwinet te maken. Met oneigenlijk gebruik wordt bedoeld het opzoeken (en zo nodig verspreiden) van informatie uit Suwinet met een ander doel dat het gebruiken van Suwinet voor Burgerzaken ten behoeve van het uitvoeren van adresonderzoeken.
Gebruik voor andere doeleinden is dus absoluut niet toegestaan. Dat geldt ook voor het doorleveren van gegevens. Fraude en misbruik, alsmede het verstrekken van informatie onder dwang door de autorisatie-verantwoordelijke blijkt uit de rapportages van het BKWI. Afhankelijk van het soort oneigenlijk gebruik worden passende maatregelen genomen conform de bepalingen in artikel 16 van de CAR-UWO. Dit ter beoordeling van de teamleider en het afdelingshoofd.
Het behoort tot de vaste taken van de medewerker Frontoffice Balie (BRP) om adresonderzoeken uit te voeren. De applicatiebeheerder autoriseert en verwijdert autorisaties al naar gelang de medewerker als medewerker Frontoffice balie in dienst of uit dienst treedt.
De informatie uit Suwinet Inkijk wordt geprint en opgeslagen in het adresonderzoekdossier. Deze dossiers worden gedurende het onderzoek en de administratieve afhandeling ervan sinds 4 november 2018 telkens na het afronden van het dossier opgeslagen ons digitale archiveringssysteem Inproces. De Archiefwet is van toepassing op archivering van deze onderzoekdossiers BRP.
Dit Handboek Beveiliging Suwinet voor Burgerzaken en alle hiertoe behorende bijlagen is op 19 november 2019 vastgesteld namens het college van Burgemeester en Wethouders van de gemeente Zwijndrecht.
De heer Hein van der Loo, Mevrouw Ella Croonenberg-Borst,
de burgemeester de secretaris/algemeen directeur