1. Inleiding
Informatiebeveiliging en privacy
Informatiebeveiliging is voor Gemeentelijke
Sociale Diensten (GSD’en) van essentieel belang en
behoort een onderdeel te zijn van de dagelijkse werkzaamheden van managers en
medewerkers. In het kader van de uitwisseling van gegevens met andere Suwi-organisaties
wordt aan de beveiliging hiervan een aantal eisen gesteld. De daadwerkelijke
beveiligingsmaatregelen rond de gegevensuitwisseling via Suwinet moeten bij alle organisaties
van een gelijkwaardig niveau zijn en niet sterk van elkaar afwijken.
Ook vanuit de wetgeving wordt aan de uitwisseling
van gegevens een aantal eisen gesteld. Zo is
op 1 september 2001 de nieuwe Wet Bescherming Persoonsgegevens (WBP) in werking
getreden. Deze wet bevat een grote hoeveelheid regels voor het bewaren, inzien, raadplegen,
verstrekken, koppelen, archiveren, kopiëren en vernietigen van gegevens. Al deze vormen van
“verwerken” moeten in overeenstemming met de wet en behoorlijk en zorgvuldig plaatsvinden
(artikel 7 WBP) en zijn slechts toegestaan op basis van een of meer in de WBP genoemde
grondslagen (artikel 8 WBP).
Op grond van de WBP kan een cliënt bij
de Gemeentelijke Sociale Dienst (GSD) inzage vragen
in of correctie vragen van gegevens. Zulke verzoeken vereisen een zorgvuldige behandeling.
Datzelfde geldt, in nog sterkere mate, bij de verstrekking van gegevens aan derden. Naast deze
privacyaspecten van de gegevensuitwisseling dienen ook algemene beveiligingsaspecten in
acht te worden genomen. In artikel 13 WBP is namelijk bepaald dat de verantwoordelijke
passende technische en organisatorische maatregelen ten uitvoer moet leggen om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige
verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en
de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de
verwerking en de aard van de te beschermen gegevens met zich brengen. Deze maatregelen
zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te
voorkomen.
De vraag welke beveiligingsmaatregelen door
gemeenten c.q. de GSD’en moeten worden
genomen in het kader van de gegevensuitwisseling die plaatsvindt via het Suwinet dient te
worden beantwoord aan de hand van de maatregelen omschreven in de zogenaamde
risicoklassen. Het CBP gaat in haar rapport “Beveiliging van persoonsgegevens,
achtergrondstudies en verkenningen 23” uit van de navolgende vier risicoklassen:
- Risicoklasse 0 publiek niveau;
- Risicoklasse I basis niveau;
- Risicoklasse II verhoogd risico;
- Risicoklasse III hoog risico.
In bijlage XIV van de Regeling SUWI wordt
bepaald dat de gegevensuitwisseling die plaatsvindt
binnen Suwinet onder te brengen is in de risicoklasse II/III.
Doel van het document
De Suwi-organisaties, waaronder elke GSD,
zijn zelf verantwoordelijk voor het borgen van het
beveiligingsniveau in de eigen organisatie en het implementeren en uitvoeren van de
beveiligingsmaatregelen. Ter ondersteuning van dit proces en ter waarborging van het
gelijkwaardige beveiligingsniveau tussen de Suwi-organisaties bevat dit document de richtlijnen
voor informatiebeveiliging gegevensuitwisseling GSD via Suwinet.
Dit document is een handreiking aan de GSD’en
zodat elke GSD op een correcte, adequate en
controleerbare manier invulling kan geven aan de informatiebeveiliging en daarmee voldoet aan
de in dit kader relevante wetgeving. Dit Richtlijnenboek informatiebeveiliging SUWI gemeenten
kan als een soort checklist gebruikt worden om te bepalen of een gemeente c.q. GSD voldoende
maatregelen heeft getroffen om de privacybelangen van cliënten te bewaken binnen het kader
van de gegevensuitwisseling binnen Suwinet. De in dit document beschreven maatregelen zijn
toegespitst op de vereiste beveiligings- maatregelen bij het verwerken van persoonsgegevens
als omschreven binnen de bijlage XIV van de Regeling Suwi voor de risicoklasse II/III.
Dit document bevat de minimale beveiligingseisen
omtrent de gegevensuitwisseling met andere
Suwi- organisaties.
Het richtlijnenboek informatiebeveiliging
SUWI gemeenten heeft het doel het onderlinge
vertrouwen tussen de Suwi-organisaties te vergroten, zodat:
- de kwaliteit van informatie die wordt verzonden respectievelijk ontvangen
via het Suwinet niet
is beïnvloed tijdens en door het gegevenstransport via Suwinet (integriteit);
- de bedrijfsprocessen niet nadelig zullen worden beïnvloed doordat
een andere Suwi-
organisatie lagere normen hanteert (beschikbaarheid);
- de verzonden persoonsgegevens niet door onbevoegden kunnen worden
ingezien
(exclusiviteit).
Doelgroep
Het Richtlijnenboek Informatiebeveiliging
Suwi gegevensuitwisseling is primair bestemd voor de
volgende partijen:
- diegene binnen de GSD’en c.q. gemeenten, die verantwoordelijk
zijn voor de naleving van
het beveiligingsbeleid en het uitvoeren van de beveiligingsmaatregelen. De
beveiligingsmaatregelen zijn gebaseerd op het onderhavige beveiligingsbeleid en de
beveiligingsnormen, voor zover de uitvoering van deze maatregelen binnen het
verantwoordelijkheidsgebied van de aangesloten Suwi- organisatie ligt;
- externe partijen aan wie de GSD ICT-diensten heeft uitbesteedt;
- uitvoerders (intern en extern) die de opdracht hebben om het beleid
te vertalen naar concrete
organisatorische en technische maatregelen.
Leeswijzer
Het document is opgesteld volgens de indeling
van de Code voor Informatiebeveiliging (2002).
Met een helder beveiligingsbeleid geeft het
management van een GSD sturing en ondersteuning
ten behoeve van informatiebeveiliging. Om dit beleid goed te laten aansluiten aan het beleid van
andere Suwi-organisaties zijn in hoofdstuk 2 Beveiligingsbeleid eisen geformuleerd waaraan dit
beleid minimaal moet voorzien. Het ten uitvoer brengen van het beveiligingsbeleid wordt op
gang gebracht en gehouden door middel van een ingesteld managementkader. De eisen aan
deze organisatie zijn uitgewerkt in hoofdstuk 4 Beveiligingsorganisatie.
De wetgeving rond de uitwisseling van gegevens
tussen Suwi-organisaties beoogt de
vastlegging, verwerking en inzage van persoonsgegevens te beschermen. Door heldere eisen
te stellen aan het in kaart brengen en houden van bedrijfsmiddelen en informatie kunnen deze
met passende maatregelen worden beveiligd. Deze eisen zijn beschreven in hoofdstuk 5
Classificatie en beheer van bedrijfsmiddelen.
De bescherming van de gegevens vindt op een
aantal gebieden plaats:
- Hoofdstuk 6 Beveiligingseisen ten aanzien van personeel;
Met passende beveiligingseisen aan het personeel worden risico’s op fouten zoveel als
mogelijk voorkomen.
- Hoofdstuk 7 Fysieke beveiliging en beveiliging van de omgeving;
Om schade en verstoring aan gebouwen, de omgeving en de informatie van de GSD te
voorkomen wordt de fysieke toegang daartoe adequaat beheerst.
- Hoofdstuk 8 Beheer van communicatie en bedieningsprocessen;
Om schade en verstoring vanuit de beheer- en bedieningsprocessen te voorkomen worden
deze sterk gecontroleerd uitgevoerd.
- Hoofdstuk 9 Toegangsbeveiliging;
Ter voorkoming van ongeoorloofde toegang tot informatie worden logische
toegangsbeveiligingsmechanismen ingezet.
- Hoofdstuk 10 Ontwikkeling en onderhoud van systemen;
Ter bescherming van informatie worden reeds tijdens de ontwikkeling van het systeem en de
processen waarborgen ingebouwd.
- Hoofdstuk 11 Continuïteitsmanagement;
Met adequaat continuïteitsmanagement worden de bedrijfsactiviteiten of de kritieke
bedrijfsprocessen beschermd tegen grootschalige storingen en calamiteiten.
- Hoofdstuk 12 Naleving;
Door middel van controles wordt vastgesteld in welke mate het beleid en de wettelijke
verplichting worden nagekomen zodat eventuele schade tot het minimum kan worden
beperkt.
Elke geconcretiseerde norm is uitgewerkt in
een doelstelling, de eisen om aan de doelstelling te
voldoen en eventueel een toelichting ter verduidelijking. Relaties met andere documenten
worden als volgt aangegeven:
- BIXV x.y
paragraaf x.y uit de bijlage XIV van de Regeling SUWI;
- CPB x.y
paragraaf x.y uit achtergrondstudie en verkenning 23 van het CPB, waarin de eisen zijn
geformuleerd ten aanzien van de beveiliging van persoonsgegevens.
