Organisatie | Samenwerking De Bevelanden |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Strategisch informatiebeveiligings- en privacybeleid GR 2023-2026 |
Citeertitel | |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp | |
Externe bijlage | Bestuurlijke principes informatiebeveiliging |
Geen
N.v.t.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
20-11-2023 | Strategisch informatiebeveiligings- en privacybeleid GR 2023-2026 | 20-11-2023 |
Deze beleidsnota beschrijft het strategisch informatiebeveiligings- en privacy beleid (IB&P beleid) voor de jaren 2023 tot en met 2026 en vervangt het in 2020 vastgestelde ‘Strategisch Informatiebeveiligingsbeleid Gemeenschappelijke Regeling Samenwerking de Bevelanden 2020-2023’ en het Privacybeleid uit hetzelfde jaar.
Deze nota is richtinggevend en kaderstellend en wordt aangevuld met onderwerp specifieke beleidsdocumenten voor informatiebeveiliging en privacy op tactisch niveau en werkinstructies op operationeel niveau.
Met dit ‘Strategisch Informatiebeveiligingsbeleid 2023-2026’ zet de Gemeenschappelijke Regeling Samenwerking de Bevelanden (GR) een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de GR te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn. De basis voor dit strategisch beleid is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid (BIO) en het VNG Borgingsproduct AVG versie 3.0. De principes die zijn gehanteerd bij het opstellen van dit strategisch beleid, zijn gebaseerd op de 10 principes voor informatiebeveiliging zoals uitgewerkt door de VNG en de beginselen uit de AVG voor het verwerken van persoonsgegevens.
De Gemeenschappelijke Regeling samenwerking De Bevelanden (GR) is een openbaar lichaam en rechtspersoon. De GR is een samenwerking tussen de gemeenten Borsele, Goes, Kapelle, Noord-Beveland en Reimerswaal. De GR voert HRM- en ICT-taken uit voor de eigen organisatie en voor de deelnemende gemeenten. Daarnaast de taken op het gebied van Werk, Inkomen en Zorg (WIZ) voor de vijf deelnemende gemeenten. De HRM-taken zijn gemandateerd. De ICT- en WIZ-taken worden uitgevoerd op basis van delegatie. In het geval van delegatie wordt de verantwoordelijkheid voor de betreffende taken overgedragen. In het geval van mandaat worden de taken namens de aangesloten partijen uitgevoerd en blijven deze zelf verantwoordelijk.
Omdat de GR een aantal taken uitvoert voor zes organisaties is het gewenst en in veel gevallen zelfs noodzakelijk, dat voor de GR op het gebied van informatiebeveiliging dezelfde regels gelden als voor de deelnemende gemeenten. Daarom wordt bij het opstellen van beleidsdocumenten en werkinstructies op tactisch en operationeel niveau aansluiting gezocht bij en afstemming gemaakt met het beleid van de deelnemende gemeenten.
In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid. In het jaarlijks uit te brengen Informatiebeveiligings- en privacy plan (vastgesteld door de directeur) worden deze tactische en operationele aspecten van informatiebeveiliging en privacy verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de teammanagers, de CISO, de privacy functionarissen (PO en FG), het dreigingsbeeld Nederlandse gemeenten van de Informatiebeveiligingsdienst voor gemeenten(IBD), en de uitkomsten van risicoanalyses en DPIA’s en de uitkomsten van ENSIA bij de deelnemende gemeenten. Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.
Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van (persoons)gegevens en andere informatie.
Het informatiebeveiligingsbeleid geldt voor alle processen van de GR en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
Omdat de GR ook HRM en ICT-taken uitvoert voor de deelnemende gemeenten is het niet alleen gewenst, maar zelfs noodzakelijk dat voor de GR op het gebied van informatiebeveiliging dezelfde regels gelden als voor de deelnemende gemeenten. Tactische en operationele aspecten van informatieveiligheid worden daarom in nauw overleg met de deelnemende gemeenten opgesteld en zoveel mogelijk geüniformeerd.
1.2 Privacy & Gegevensbescherming (AVG)
De GR werkt met (persoons)gegevens van inwoners, ondernemers, medewerkers en (keten)partners. Deze gegevens verzamelt de GR voor het goed kunnen uitvoeren van de (wettelijke) taken. Het gaat hierbij om taken in het sociaal domein, ICT en personeelszaken. Voor de gemeenten zijn dit onder andere het openbare orde en veiligheidsdomein en burgerzaken. Om als GR deze taken goed uit te voeren zijn persoonsgegevens noodzakelijk.
Bij de omgang met persoonsgegevens van inwoners en personeel hebben overheden een grote verantwoordelijkheid. Privacy is een essentieel en complex vraagstuk. Dit komt onder andere door de toenemende digitalisering van de samenleving en dienstverlening, de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden en veranderende wetgeving. Privacy raakt de hele organisatie en verdient, samen met informatiebeveiliging, continu aandacht. De inwoner moet erop kunnen vertrouwen dat de GR zorgvuldig en veilig met deze persoonsgegevens omgaat.
1.3 Ambitie en visie van de GR op het gebied van informatieveiligheid en privacy
Informatiebeveiliging en privacybescherming moeten eraan bijdragen dat de Gemeenschappelijke Regeling Samenwerking de Bevelanden (GR) haar ambities, doelen en resultaten realiseert. Informatiebeveiliging is om die reden geen doel op zichzelf, en dient in samenhang gebracht te worden met de doelen van de organisatie. De GR zorgt ervoor dat zijzelf en de deelnemende gemeenten tenminste kunnen voldoen aan de wettelijke verplichtingen op het gebied van informatieveiligheid en privacybescherming.
De komende jaren zet de GR in op het verhogen van de privacy bewustwording en verdere professionalisering van de privacy functie in de organisatie. Dezelfde inzet geldt ook de dienstverlening aan de deelnemende gemeenten bij het realiseren van hun informatieveiligheid. Een goede privacy boekhouding en een betrouwbare informatievoorziening zijn noodzakelijk voor het goed functioneren van de GR en de deelnemende gemeenten, en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed eigenaarschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Daarbij is verantwoord en bewust gedrag van alle medewerkers essentieel voor privacy binnen de GR.
Op alle terreinen wordt tactisch beleid opgesteld. Ook worden maatregelen getroffen zodat bij alle BIO-controls beoordeeld kan worden of we aan de eisen voldoen. Binnen de teams moet duidelijk zijn welke eisen er gelden op het gebied van Beschikbaarheid, Integriteit (juistheid) en Vertrouwelijkheid van de gegevens en processen. Vanaf 2023 wordt verder gewerkt aan het invoeren van interne periodieke controles en de Plan-Do-Check-Act cyclus, waarmee een continu proces van beoordelingen en verbeteringen wordt gerealiseerd.
Het doel van deze beleidsnota is het presenteren van het ‘Strategisch Informatiebeveiligings- en privacy beleid voor de jaren 2023 tot en met 2026’. De uitwerking van dit beleid in concrete maatregelen en activiteiten vindt plaats in het jaarlijks bij te stellen informatiebeveiligings- en privacyplan (IB&P-Plan).
Het beleid op informatiebeveiliging en privacy dient ondersteuning te bieden aan het bestuur, het management en de organisatie bij de sturing op en het beheer van informatieveiligheid en privacy.
De ontwikkelingen die van belang zijn voor de actualisering van het IB&P beleid zijn de volgende:
De BIO (Baseline Informatiebeveiliging Overheid) is het normenkader voor de gehele overheid. De werkwijze van deze BIO is gericht op risicomanagement. Dat wil zeggen dat de teammanagers nu meer dan vroeger moeten werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt voor het management in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds digitaler wordende overheid maakt het zorgvuldig omgaan met persoonsgegevens steeds complexer en noodzakelijker. De Gemeenschappelijke Regeling Samenwerking de Bevelanden (GR) is zich hiervan bewust en wil daarom met dit beleid aangeven hoe zij in algemene zin invulling geeft aan nationale en Europese wet- en regelgeving op het gebied van privacy, waaronder de Algemene Verordening Gegevensbescherming (hierna te noemen: AVG).
De GR heeft BOA’s in dienst en zij verwerken gegevens die niet onder de AVG vallen maar onder de wet Politiegegevens (Wpg). Hiervoor moet de GR beleid en samenhangende procedures hebben ingeregeld die betrekking hebben op toegangsrechten, autorisaties, data classificatie, risico-inschatting, registratie en logging, meldplicht en documentatieplicht.
2.2.4 De 10 principes voor informatiebeveiliging
De 10 principes voor informatiebeveiliging (zie bijlage A) zijn een bestuurlijke aanvulling op het normenkader[1] BIO en gaan over de waarden die de bestuurder zichzelf oplegt. De principes zijn als volgt:
De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de GR. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.
2.2.5 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten
Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.
2.2.6 Informatie uit incidenten, inbreuken op de beveiliging en datalekken
De GR kent naast het hierboven genoemde dreigingsbeeld natuurlijk een eigen systeem waarin incidenten worden vastgelegd. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.
2.3 Standaarden informatiebeveiliging
De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen.
Voor de ondersteuning van overheden bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek[2] in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen.
De inhoud en structuur van deze beleidsnota zijn afgestemd op die van de BIO. Ook het Informatiebeveiligings- en privacyplan zal deze structuur volgen.
Binnen de in de GR deelnemende gemeenten wordt naast ICT ook Operationele Technologie (OT) ingezet. Met OT worden systemen bedoeld voor de besturing van apparaten voor middel van Proces Automatisering (PA). Voor zover de GR op deze onderdelen taken uitvoert voor de gemeenten geldt het beveiligingsbeleid van de GR ook voor de bescherming van PA. Voor de bescherming van PA gebruikt de GR de Cybersecurity Implementatie Richtlijn (CSIR).
2.4 Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging en privacy op tactisch en operationeel niveau.
Deze beleidsnota beschrijft op strategisch niveau het informatiebeveiligings- en privacy beleid. Dit beleid wordt vertaald in aanvullend beleid en tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven ‘Informatiebeveiligings- en privacyplan’.
2.5 Scope informatiebeveiliging en privacy
De scope van deze beleidsnota omvat alle processen, onderliggende informatiesystemen, procesautomatisering, informatie en gegevens van de GR, de deelnemende gemeenten en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de AVG, UAVG, Wpg, BRP, PNIK/PUN, DigiD en SUWI. Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties) en DigiD met norm B.01 eisen. Deze worden in aanvullende beleidsdocumenten geformuleerd.
Bewust wordt in het strategisch beleid geen uitputtend overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Alle Proces Automatiseringssystemen (PA) die binnen gemeentelijke gebouwen en in de publieke ruimte van de Bevelandse gemeenten worden gebruikt, die van de gemeenten zijn, zoals gebouwbeheersingssystemen en bijvoorbeeld camera technologie of pompen en gemalen en waarvoor de GR (een deel van) het beheer uitvoert.
Het bestuur, de directeur en het teammanagement spelen een cruciale rol bij het uitvoeren van dit strategische IB&P beleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de GR heeft, de (privacy) risico’s die de GR hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging en privacy op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het gehele management geeft een duidelijke richting aan informatiebeveiliging en privacy en demonstreert dat zij informatiebeveiliging en privacybescherming ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een IB&P beleid van en voor de hele GR. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen, procesautomatisering en (persoons)gegevens(verzamelingen). Het IB&P beleid is in lijn met het algemene beleid van de GR en de relevante landelijke en Europese wet- en regelgeving.
De strategische doelen van het IB&P beleid zijn:
2.6.2 Belangrijkste uitgangspunten
De belangrijkste uitgangspunten van het beleid zijn:
De uitvoering van de informatiebeveiliging en privacybescherming is een verantwoordelijkheid van het lijnmanagement. Alle informatiebronnen en -systemen die gebruikt worden door de Gemeenschappelijke Regeling Samenwerking de Bevelanden (GR) hebben een interne eigenaar die de vertrouwelijkheid, privacyeisen en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening en privacy verankerd binnen de organisatie. Het IB&P beleid vormt samen met het IB&P plan het fundament onder een betrouwbare informatievoorziening en privacy bescherming. In het IB&P plan wordt de betrouwbaarheid van de informatievoorziening en privacy organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en risicoanalyses voor informatiebeveiliging en privacy.
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
De Functionaris voor Gegevensbescherming (FG) is verantwoordelijk voor het intern onafhankelijk toezien op en adviseren van het Dagelijks Bestuur over de juiste en zorgvuldige omgang met persoonsgegevens zoals de AVG voorschrijft. De FG brengt een jaarverslag uit waarin hij zijn bevindingen en aanbevelingen vastlegt.
Hoewel de basiskernregistraties (zoals BRP, PUN/PNIK, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de GR. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de GR en het behalen van de doelen die zijn gesteld.
Belangrijke randvoorwaarden zijn:
3. Organisatie, taken & verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging en privacy op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij het in de bedrijfsvoering bekende ‘Three Lines Model’ (eerder bekend als ‘Three Lines of Defense’). In dit model is het lijnmanagement verantwoordelijk voor het realiseren van informatiebeveiliging en privacy binnen de eigen processen. De tweede lijn (CISO, Security Officer, Privacy Officer) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor en/of FG van een objectief oordeel voorzien met mogelijkheden tot verbetering.
De directeur zorgt dat alle (persoons)gegevens, processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een teammanager. De directeur zorgt dat de teammanagers zich verantwoorden over de beveiliging en bescherming van de privacy van (persoons)gegevens of andere informatie die onder hen berust. De directeur zorgt dat de eindverantwoordelijke portefeuillehouders binnen het bestuur gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging en privacybescherming een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het bestuur zich ook verantwoorden naar de deelnemende gemeenten.
De directeur stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. De directeur draagt zorg voor het uitwerken van tactische informatiebeveiligings- en privacybeleidsonderwerpen en laat zich hierin bijstaan door de CISO en PO van de GR. De directeur autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging en privacybescherming wordt in de Gemeenschappelijke Regeling Samenwerking de Bevelanden gezien als een integraal onderdeel van risicomanagement.
Informatiebeveiliging en privacy valt onder de verantwoordelijkheden van alle teammanagers. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. De bedoeling is dat alle processen, systemen, (persoons)gegevens, applicaties altijd minimaal 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Teammanagers rapporteren aan de directeur over de door hen tactisch en operationeel uitgevoerde informatiebeveiligings- en privacybeschermende activiteiten. Afstemming met de teams over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp informatiebeveiliging en privacy te bespreken in het teamoverleg.
Taken van de teammanagers in het kader van informatiebeveiliging en privacybescherming zijn:
3.3 Controle en verantwoording
Dit Strategisch IB&P Beleid is een verantwoordelijkheid van het bestuur van de Gemeenschappelijke Regeling Samenwerking de Bevelanden (GR). De bestuurders en directeur van de GR gaan werken volgens de 10 principes voor informatiebeveiliging en de beginselen voor het verwerken van persoonsgegevens. Zij geven sturing aan het onderwerp informatiebeveiliging en privacy door het tonen van voorbeeldgedrag en het vragen om informatie.
De directeur is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging en privacy aan het Dagelijks Bestuur. De directeur rapporteert daarnaast over de mate waarin invulling is gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
Gemeenten verantwoorden zich over informatiebeveiliging middels de ENSIA-systematiek. Die verantwoording gaat naar de gemeenteraad en naar enkele ministeries. Omdat de GR taken uitvoert voor de Bevelandse gemeenten, moet de GR ieder jaar een aantal antwoorden verstrekken aan de gemeentelijke ENSIA-coördinatoren. De teammanagers ICT en HRM en de proceseigenaar Suwinet leveren de gemeenten alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten.
De verantwoording over de informatiebeveiliging en privacybescherming komt in het jaarverslag tot uitdrukking in de paragraaf Informatiebeveiliging en privacy. In die paragraaf geeft het bestuur aan in hoeverre de GR voldoet aan de afspraken die gemaakt zijn voor Informatiebeveiliging en wettelijke eisen zoals uit de AVG. Ook worden de eventuele verbetermaatregelen vermeld die de GR gaat treffen.
Middels deze verantwoording worden het bestuur van de GR en de deelnemende gemeenten geïnformeerd. De betrokkenheid van het bestuur is essentieel, en laat zien dat de GR informatiebeveiliging en privacybescherming serieus neemt en het een onderdeel laat zijn van de ambities om informatie van de inwoners van de Bevelanden adequaat te beschermen.
Vastgesteld op : [datum] door het Dagelijks bestuur van de Gemeenschappelijke Regeling Samenwerking de Bevelanden
Bijlage A: De 10 bestuurlijke principes voor informatiebeveiliging
[1] Deze principes zijn gelijk met de BIO van kracht geworden, zie besluitvorming Informatiebeveiligingsdienst (IBD) en Verenigde Nederlandse Gemeenten (VNG).
[2] De Interbestuurlijke werkgroep Normatiek bestaat uit vertegenwoordigers van bijvoorbeeld VNG en de IBD, maar ook waterschappen, provincies en het rijk.