Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

Decentralisaties - Shared Services Netwerk Twente

advertisement 
Gegevensverwerking
en Privacy in het
Sociaal Domein
Een visiedocument om richting te geven aan de lerende praktijk.
Insteek document:
Handvat geven aan professionals
Opmaat naar integrale visie
op privacy in het gemeentelijk
domein.
Richting geven aan de “lerende praktijk”
Handvat
• Hoofdstuk 3 Stappenplan
• Hoofdstuk 4 Gedragsregels
Taak-doel-relatie
Aan de hand van:
- de taken/werkzaamheden die de organisatie
uitvoert,
- de op die taken en werkzaamheden gebaseerde doelen
waarvoor gegevens verwerkt worden en
- de relatie die er daarbij met de betrokkene bestaat (of
soms juist niet bestaat),
- kan een beoordeling gegeven worden of en welke
gegevens in een bepaalde situatie noodzakelijk zijn.
Gedragsregels
• Moeten nog omgebouwd worden naar
publiceerbare regels.
Richting geven aan lerende praktijk
• Sociaal domein is nog volop in ontwikkeling
• Transformatie moet nog plaatsvinden
• Ontwikkeling naar eigenaarschap informatie van
overheid naar burgers
• Van toestemming naar transparantie naar wederzijdse
transparantie
• Beleid “under construction”
Opmaat naar integrale visie privacy
• Visie Privacy Sociaal Domein nauw verbonden met
informatiebeveiliging
• Maar ook met andere gemeentelijke onderdelen
• Visie steeds verder verbreden en gebruiken als kapstok
• Toewerken naar uitvoeringsagenda
Informatiebeveiliging & Privacy
Informatiebeveiliging en Privacy Gemeente Enschede
Wat komt op de gemeente af?
Ontwikkelingen





Aanleiding
Meer zelfredzaamheid in samenleving, transformatie sociaal domein
Nieuwe Europese privacy regels 2016
Visie Minister Plasterk: Burgers kunnen in 2017 digitaal zaken doen met
gemeenten
Intergemeentelijke samenwerking: IBO, SSNT, Regio Twente, Dimpact, RUD,
GBI
Reorganisatie
Bezuinigingen bij het Rijk en lokaal




Gemeentelijke Model Architectuur 2.0 (GEMMA), Werken onder architectuur,
Basisgemeente
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Digitale Overheid 2017
Programma Informatievoorziening Sociaal Domein 2.0, KING.
Digitale StedenAgenda/Smart City












Digitaal werken & zaakgericht werken
Digitale toegang voor burgers tot eigen (digitaal) dossier
Cloud oplossingen
Informatiebeveiliging & privacy aspecten
Ketensamenwerking (één plan, één regisseur)
Het Nieuwe Werken
Bring Your Own Device
Gebruik Social Media
The Internet of Things, smart city concept
Open data, Big data
Software as a Service (SAAS-toepassingen)
Smart Grids, duurzaamheid
De inwoner van Enschede staat centraal. Vanuit dat uitgangspunt inspireert, initieert,
arrangeert, faciliteert en handhaaft de overheid waar nodig. De gemeente is betrouwbaar,
dienstbaar, transparant en herkenbaar. Vanuit dat beeld krijgt de gemeente het vertrouwen van
haar inwoners, maar geeft ze ook vertrouwen. Het delen van verantwoordelijkheden biedt
mensen kansen en laat zoveel mogelijk de verantwoordelijkheden in de samenleving.
De informatievoorziening maakt toegankelijkheid en transparantie van dienstverlening mogelijk
door inzicht geven in informatie.
We zetten de beweging in van transparantie door de gemeente naar wederzijdse transparantie
tussen inwoner/ondernemer en overheid.
Informatieanalyse Sociaal Domein.
Gesprek met Raad over Privacy
• Het college van B&W: is integraal eindverantwoordelijk voor de informatiebeveiliging en privacy.
Gemeenten hebben meer taken en
verantwoordelijkheden gekregen en
beschikken mede daardoor over veel
informatie over inwoners en ondernemers.
Een zorgvuldige en bewuste omgang is
vereist.
•Doel: In beeld krijgen welke informatie een
professional echt nodig heeft om tot een
plan te komen.
•Wat: een informatieanalyse uitvoeren met
professionals, procesmanagers,
beleidsmakers.
•Wie: Gemeente Enschede (MO, W&I, IT
Bedrijf, CIO), PBLQ, BZK, VWS, VenJ, SZW,
KING, VNG
•Wanneer: Q1/2 2015
•Budget: nvt.
•Doel: bewustwording en borging beleid
gegevensverwerking en privacy op
bestuurlijk niveau. Transparantie naar de
samenleving. (besluitvorming heeft in
college plaatsgevonden).
•Wat: Gesprek adhv notitie
Gegevensverwerking en Privacy in het
sociaal domein.
•Wie: Raad, Wethouder Eerenberg, CIO
(office), JZ)
•Wanneer: Q1 2015 afhankelijk van
agendering door Raad
•Budget: nvt.
• De directie: is kaderstellend, geeft sturing aan informatiebeveiliging en privacy en controleert op de naleving
• Functionaris Gegevensverwerking en Chief Information Security Officer (verder uitwerken)
• Afdelingen en teams: zij zijn verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid en
privacy
• Medewerkers: zij zijn verantwoordelijk voor hun eigen gedrag en voor de naleving van procedures
Taken
• Het college van B&W: stelt het informatiebeveiligingsbeleid (incl. uitgangspunten) vast en zorgt voor de
noodzakelijke resources om hier uitvoering aan te geven
• De directie: stelt beleidsdocumenten vast, draagt het informatiebeveiligingsbeleid uit.
• Adviseur informatiebeveiliging: geeft namens de directie ‘handen en voeten’ aan informatiebeveiliging,
treedt adviserend en coördinerend op op het gebied van informatiebeveiliging, houdt toezicht op de algehele
werking van het informatiebeveiligingsbeleid en faciliteert de implementatie van dit beleid (CISO-rol)
Resolutie Informatiebeveiliging
Resolutie ‘Informatiebeveiliging VNG 2013.
Vier kernprincipes:
1. Bestuurlijke borging
2. Organisatorische inbedding
3. Transparantie
4. Verantwoording
Kabinetsvisie Privacy Sociaal Domein
N.a.v. decentralisaties opgesteld.
Uitgangspunten:
 WBP is leidend
 Hergebruik gestandaardiseerde gegevens moet
geregeld zijn in de betreffende sectorale wet- en
regelgeving, op basis van wederkerigheid
 Richting geven aan lerende praktijk
 Versterking positie van de inwoner
 College verantwoordelijk, legt verantwoording af
naar de Raad
• Afdelingen en teams: opstellen van impact-, dreigingen-, kwetsbaarheids- en risicoanalyse, voor het
implementeren beveiligingsmaatregelen en sturen op bewustwording bij medewerkers
• Medewerkers: verantwoordelijk gedragen, elkaar aanspreken op gedrag en werken aan bewustwording
Het proces informatiebeveiliging verloopt via het ISMS
De werking van het Information Security Management System (ISMS)
Lokale ambities ambtelijke org.




Missie gemeente: Wij werken deskundig en met verantwoordelijkheidsgevoel voor
bestuur en samenleving. Ons doel is een goed functionerende gemeente en een stad
waarin het plezierig samenleven is voor bewoners en bezoekers
Visie gemeente: Gegeven de door raad en college gestelde kaders en doelen streven
wij naar een in alle opzichten optimaal woon-, werk-, en leefklimaat voor burgers,
bedrijven en organisaties in Culemborg. Wij houden hierbij zoveel mogelijk rekening
met de wensen van de Culemborgse samenleving
Visie directie “Naar een succesvolle en aantrekkelijke werkorganisatie” (2012)

Medewerkers dienen zelfstandig en verantwoordelijk
te functioneren

Leiding stuurt minder op input en meer op output
(resultaten). Vertrouwen is hierbij belangrijk

Een succesvolle en aantrekkelijke organisatie zijn.
Voldoende goed gekwalificeerd personeel
aantrekken en een lerende organisatie zijn. Kennis
moet levend zijn en blijven

Invoeren van Het Nieuwe Werken

Op- en uitbouwen van intergemeentelijke
samenwerking

Bezuinigen, personeelsreductie en
schrappen/verminderen activiteiten

Bevorderen burgerparticipatie.
In ontwikkeling – Samen delen 2014. Kernwoorden hierin: verbinden, versterken en
verzakelijken
Dienstverleningsprincipes
 De inwoner en ondernemer staat aan het stuur, we doen een beroep op hun eigen
verantwoordelijkheid ten aanzien van leven en ondernemen.
 Waar mogelijk zetten we lichte vormen van dienstverlening en ondersteuning in. Waar
nodig leveren we (tijdelijk) maatwerk naar inwoners en ondernemers.
 Het primaire kanaal van dienstverlening is internet. In tweede instantie kan de
inwoner/ondernemer telefonisch contact opnemen. Wanneer het nodig is kan hij ook aan
de balie komen of komen we bij hem thuis. (klik, bel, kom).
 We zoeken het optimum tussen efficiënte en effectieve dienstverlening (balans kosten en
baten).
 Dienstverlening wordt generiek en gestandaardiseerd ingericht. In specifieke gevallen kan
hiervan afgeweken worden.
 Als gemeente gaan we uit van samenwerking. Met partners lokaal, regionaal en landelijk.
 We bieden inwoner en ondernemer één overheidspoort, één toegang via bijv.
MijnOverheid.nl.
 Enschede werkt volledig op afspraak.
 We gebruiken de gegevens die we hebben en vragen niet dubbel uit.
Lokale en Intergemeentelijke
Principes informatievoorziening
maximale standaardisatie voor het beleid, architectuur, infrastructuur, processen en programmatuur
Digitaal en zaakgericht werken
Eenmalige opslag, meervoudig gebruik van gegevens
Informatie wordt overheidsbreed gedeeld en gebruikt
Vermindering van administratieve lasten waarbij transacties zo eenvoudig, inzichtelijk en goedkoop
mogelijk zijn
Alle kanalen staan open voor de burgers, bedrijven en instellingen, we hanteren de prioritering Klik,
bel, kom.
De gemeente is de poort tot de totale overheid
Waar mogelijk werken we samen met andere organisaties aan de dienstverlening aan onze inwoners.
Eigenaar poster: Elbert Bloemink/Dick Laan, Gemeente Enschede
Ontwikkelingen/acties 2015/2016
• De gemeenteraad: controleert B&W
Informatie trends
Lokale doelen: Collegeprogramma
Operationeel/Verrichten
Verantwoordelijkheden en bevoegdheden
Een reeks incidenten, waaronder ook Lektober en het omvallen van Diginotar

Landelijke
Informatie Projecten

Tactisch/Inrichten
Strategisch/Richten
Visie: Extern & eigen ambities
Waarom informatiebeveiliging en privacy
De gemeente krijgt steeds meer taken gedecentraliseerd vanuit Rijk en Provincie. Daarmee ook grotere
verantwoordelijkheid voor de informatievoorziening. Informatie is een van de belangrijkste bedrijfsmiddelen
van de gemeente en tevens noodzakelijk om de processen te laten functioneren. Dit vraagt zorgvuldigheid en
betrouwbaarheid van de overheid met (waar mogelijk) transparantie naar inwoners en bedrijven toe.
De aspecten van informatiebeveiliging en privacy
Het gaat om het verzamelen, verwerken en delen van informatie in de
vormen: digitaal, analoog en kennis.
Het gaat om het waarborgen van de betrouwbaarheidsaspecten van
de informatievoorziening: beschikbaar, integer en vertrouwelijk.
Informatiebeveiliging en waarborgen van privacy heeft te maken met
de dienstverlening van en door de gemeente, mens (houding en
gedrag), organisatie (procesinrichting) en techniek
(informatievoorziening).
Doelen informatiebeveiliging/privacy
Resultaat
1.
De betrouwbaarheid van de
informatievoorziening waarborgen
1.
Gemeente is een aantoonbare
betrouwbare partner
2.
In control zijn en hierover
professionele verantwoording
afleggen
2.
Betrouwbare
informatievoorziening
3.
4.
Minimalisatie van de eventuele
gevolgen voor de organisatie als
gevolg van incidenten
3.
4.
Geen ongeoorloofd gebruik en of –
toegang tot de informatie van en
over inwoners/ondernemers
Verminderde auditlast
Compliance zijn
Scope informatiebeveiliging
De scope omvat alle processen, onderliggende
informatiesystemen en informatie van de
gemeente in de meeste brede zin van het woord.
Het informatiebeveiligingsbeleid is de algemene
basis voor de informatiebeveiliging. Het beleid
“gegevensverwerking en privacy in het sociaal
domein is de basis voor het privacybeleid. Voor
bepaalde onderdelen gelden op grond van wet- en
regelgeving aanvullende beveiligingsmaatregelen
en privacyregels (zoals bij BAG, SUWI, BRP en
DigiD).
Informatiebeveiliging voorkomt
Informatiebeveiliging streeft naar het voorkomen
of het minimaleren van de impact van:
• Het lekken en manipuleren van informatie
• Virussen, malware, social engineering
• Uitval ICT-systemen, onderbreking proces
• Identiteitsfraude
• Imagoschade, vertrouwensbreuk
• Verkeerd verzamelen, verwerken en delen van
informatie
Kaders
Opbouw
Niet limitatief / belangrijkste kaders:
• De visie en algemene uitgangspunten
• Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG)
• Organisatie van de informatiebeveiliging
• NEN ISO 27001 (ISMS)
• WBP (hoofdzakelijk art. 13)
• BRP
• DigiD
• Beheer van bedrijfsmiddelen
• Personele beveiliging
• Fysieke beveiliging en beveiliging van de
omgeving
• Suwinet
• Beheer van communicatie- en
bedieningsprocessen
• PUN
• Toegangsbeveiliging
• Archiefwet
• Verwerking, ontwikkeling en onderhoud van
informatiesystemen
• Beheer van beveiligingsincidenten
• Bedrijfscontinuïteitsbeheer
• Naleving
Veilige Gegevensuitwisseling SUWI
net
Eind 2013 is er een kritisch rapport
verschenen over het gebruik van SUWI net
binnen de gemeenten. Aan de hand van dit
rapport heeft de VNG een verbeterplan
opgesteld met de volgende punten:
1) Het ontwikkelen van een meer
fijnmazige autorisatiestructuur
gemeenten
2) Verbetering van de logging en
gebruikersrapportages
3) Ontwikkelen en vaststellen gebruiks- en
aansluitvoorwaarden Suwinet inlezen
4) Ketenbrede awareness campagne
5) Beleid inzake misbruik gegevens door
medewerkers
6) Herijking SUWI normenkader irt BIG
7) Telewerken en doorleveren van
gegevens
8) Beperking van zoeksleutels in SUWI
Inkijk
9) Onderzoek naar haalbaarheid beperking
toegang SUWI net
10) Analyse van bepaalde gegevens in
risicoklassen
MinSZW neemt de volgende maatregelen
ter hand:
a) De suwi-regelgeving herijken
(dereguleren)
b) Levering van informatie ipv gegevens
mogelijk maken
c) Transparantie naar inwoner uitwerken
d) Afsluitbeleid bij wanprestaties
vormgeven
Wanneer: Q1 en 2 2015
Wie: W&I , CIO en IT Bedrijf
Deskundigheidsbevordering
Privacy en beveiliging
medewerkers Sociaal Domein
•Doel: bewustwording en borging beleid
gegevensverwerking en privacy bij
professionals.
•Wat: Ontwikkeling training voor
professionals, waar mogelijk in
samenwerking met Rijk / VNG
•Wie: Werkgroep Privacy,
Departementen, VNG, Twentse School
•Wanneer: Q1 / 2 2015
•Budget: ntb
Aanstellen Functionaris
Gegevens-bescherming (FG)
Nieuwe europese regelgeving dwingt af
dat gemeenten een FG in dienst moeten
hebben. Vorig jaar is besloten om tot
aanstelling van een FG over te gaan.
Realisatie in 2015.
•Doel: bewustwording en borging beleid
gegevensverwerking en privacy in de
organisatie.
•Wat: Aanstellen FG.
•Wie: Concernstaf Gemeente Enschede
•Wanneer: Q1 2015
•Budget: is reeds gereserveerd.
Impactanalyse nieuwe europese
privacywetgeving.
De aankomende nieuwe regels voor
privacy kunnen een forse impact hebben
op de organisatie en de maatregelen om
risico’s af te dichten. Een aantal punten
uit de nieuwe europese regelgeving:
- Boetes tot max 1 mln euro
- Verplichte aanstelling functionaris
gegevensbescherming
- Melden van datalekken binnen 72 uur
- Documentatieplicht
- Zelfstandige verantwoordelijkheid
bewerkers.
- Voorwaarden voor toestemming
- Recht op het laten wissen van
gegevens
•Doel impactanalyse: in beeld brengen
wat de gevolgen van deze wetgeving
voor de gemeente zijn.
•Wat: Uitvoeren impactanalyse
•Wie: JZ evt ism SSNT
•Wanneer: 2015 (wetgeving gaat
waarschijnlijk per 2017 in.
•Budget: nvt.
Over naar Henk Wolsink
De bouwstenen voor Privacy
WAT: Beschrijving
producten/diensten en
strategie via welke kanalen
deze aangeboden en privacy
geborgd moet worden.
WIE: Voor goede
dienstverlening zijn
competente medewerkers
en leidinggevenden nodig
die vanuit de visie op
dienstverlening ook
rekening houden met
privacy en beveiliging
informatie.
HOE: De wijze waarop
Producten
Diensten
Kanalen
Processen
Besturing
Organisatie
Leiderschap
Medewerkers
Systemen
Informatie
de gemeente de
werkprocessen inricht en
de privacy daarin borgt.
WAARMEE: De
informatievoorziening
(geheel aan systemen
en informatie) welke
nodig is om de
info.beveiliging en
11
privacy te waarborgen.
Vraagstelling
• Welke activiteiten heeft jouw gemeente op elke
bouwsteen nog nodig?
• Wat kan de samenwerking binnen SSNT daaraan
bijdragen?
Related documents
Protocol Infectiepreventie in de huisartsenpraktijk
Protocol Infectiepreventie in de huisartsenpraktijk
Probleem: Iedere partner heeft eigen privacy
Probleem: Iedere partner heeft eigen privacy
Informatiebeveiliging
Informatiebeveiliging
Bedwing het monster social media
Bedwing het monster social media
Presentatie commissie 24-11-2015
Presentatie commissie 24-11-2015
hier ons privacy beleid
hier ons privacy beleid
Toolbox informatiebeveiliging en privacy
Toolbox informatiebeveiliging en privacy
PowerPoint-presentatie
PowerPoint-presentatie
Disclaimer - Sapa Pana Travel
Disclaimer - Sapa Pana Travel
Gij zult openbaren: privacy en de open overheid
Gij zult openbaren: privacy en de open overheid
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Bijlage VWO - Examenblad
Bijlage VWO - Examenblad
Privacy vs. archiveren: hoe wenselijk en
Privacy vs. archiveren: hoe wenselijk en
POSTADRES
POSTADRES
Powerpoint-presentatie
Powerpoint-presentatie
Werkstijl scheinworkshop
Werkstijl scheinworkshop
H244 Cryptography and Network Security
H244 Cryptography and Network Security
Download
advertisement