13 B Rapportage Informatiebeveiliging 2018

Rapportage

Informatiebeveiliging 2018

Titel: Rapportage Informatiebeveiliging 2018 Versie: 0.3

Datum: 3 mei 2019 Auteur(s): I.M.C. Mekers

1

Inhoudsopgave

Samenvatting ... 2

1. Inleiding ... 3

2. Activiteiten in 2018 ... 4

2.1 Chief Information Security Officer ... 4

2.2 Werkgroep Informatiebeveiliging ... 4

2.3 Information Security Management System ... 4

2.4 Aansluiting bij de Informatiebeveiligingsdienst ... 4

2.5 Informatiebeveiligingsbeleid ... 4

2.6 Informatiebeveiligingsplan ... 5

2.7 Beveiligingsincidenten ... 5

2.8 Relatie met privacy ... 5

3. Resultaten zelfevaluatie in 2018 ... 7

3.1 Resultaten zelfevaluatie BIG... 7

3.2 Resultaten per stelsel ... 8

3.2.1 Zelfevaluaties BRP en PUN ... 8

3.2.2 Zelfevaluatie Suwinet... 9

3.2.3 Zelfevaluatie DigiD ... 10

3.2.4 Zelfevaluatie BAG ... 10

3.2.5 Zelfevaluatie BGT ... 10

3.2.6 Zelfevaluatie BRO ... 11

4. Vooruitblik 2019 ... 12

4.1 ISMS ... 12

4.2 Bewustwording ... 12

4.3 Maatregelen invoeren ... 12

4.4 Basisregistraties ... 12

2

Samenvatting

Het college van B&W van gemeente Asten legt jaarlijks verantwoording af over de uitvoering van het informatiebeveiligingsbeleid. Dit rapport bevat die verantwoording.

Activiteiten in 2018

In 2018 is op het gebied van informatiebeveiliging het volgende gerealiseerd:

• Het Informatiebeveiligingsbeleid 2018 – 2020 en een Verklaring van Toepasselijkheid zijn vastgesteld.

• Structurele formatie voor de CISO-functie is aanwezig en ingevuld.

• Het Information Management Security System is uitgebreid om efficiënter verantwoording af te kunnen leggen aan de toezichthouders.

Beveiligingsincidenten

In 2018 is er één datalek geweest bij Senzer met betrekking tot Astense burgers. Bij gemeente Asten zijn twee datalekken geweest. In alle gevallen is melding gedaan bij de Autoriteit

Persoonsgegevens en in voorkomende gevallen zijn de betrokkenen geïnformeerd.

Zelfevaluaties

Gemeenten moeten richting de Rijksoverheid verantwoording afleggen over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI):

• Voor BRP en PUN scoort gemeente Asten op het inhoudelijke deel binnen de gestelde normen. Het beveiligingstechnische deel scoort wat lager op het gebied van

toegangsbeveiliging en organisatie van de beveiliging.

• Sinds oktober 2018 is gemeente Asten DigiD aansluithouder. Op basis van het auditrapport heeft Logius vastgesteld dat gemeente Asten voldoet aan de voorwaarden DigiD.

• BAG en BGT scoren voldoende op het inhoudelijke deel. Over het beveiligingstechnische deel heeft geen terugkoppeling plaatsgevonden door de toezichthouder.

• BRO scoort onvoldoende. Hieraan worden, vanwege het niet verplichte karakter van de zelfevaluatie, door de toezichthouder nog geen consequenties verbonden.

• De gemeente heeft haar SUWI-taken op het gebied van o.a. de Participatiewet opgedragen aan Senzer. Desondanks blijft de gemeente verantwoordelijk voor Suwinet. Gemeente Asten gebruikt Suwinet Inkijk voor BPR-(adres)onderzoeken. In beide gevallen is door een externe IT-auditor vastgesteld dat wordt voldaan aan het gestelde normenkader.

Vooruitblik 2019 Activiteiten voor 2019:

• In combinatie met voorlichting over privacy zal informatiebeveiliging onder de aandacht van de medewerkers worden gebracht om de bewustwording bij hen te vergroten.

• Het invoeren van de beveiligingsmaatregelen gaat in 2019 verder. Daarnaast zal een aanvang worden gemaakt met de invoer van de Baseline Informatiebeveiliging Overheid.

• Gegevens zijn één van de belangrijkste bedrijfsmiddelen van de gemeente. Aandacht voor de kwaliteit, actualiteit en compleetheid van de basisregistraties is daarom van groot belang. Speciale aandacht is nodig voor de implementatie van de BRO.

3

1. Inleiding

Informatiebeveiliging is een actueel thema. De informatieveiligheid staat vanuit vele kanten onder druk en het aantal dreigingen neemt dagelijks toe. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie. Informatieveiligheid is daarom van groot belang!

Het begrip ‘informatiebeveiliging’ heeft betrekking op:

- Beschikbaarheid: het zorgdragen voor het beschikbaar zijn – op de juiste tijd en plaats - van informatie en informatieverwerkende bedrijfsmiddelen.

- Integriteit: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

- Vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden.

In de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente‘ hebben de Nederlandse gemeenten uitgesproken hun informatiebeveiliging in te richten op een

gestandaardiseerde en transparante wijze. Het college van B&W legt over het jaar 2018

verantwoording af over de status van informatiebeveiliging. In 2017 hebben alle gemeenten voor de eerste keer de verantwoording aan hun eigen toezichthouder, de raad, en de toezichthouders van het Rijk via de ENSIA systematiek uitgevoerd. ENSIA staat voor Eenduidige Normatiek Single Information Audit. ENSIA neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als

uitgangspunt. Vanuit deze horizontale (gemeentebrede) zelfevaluatie wordt eveneens de verantwoording aan de stelselhouders bij het Rijk afgeleid, de zogenaamde verticale verantwoording.

De scope van ENSIA is als volgt:

• Implementatie Baseline Informatiebeveiliging Gemeenten (BIG)

• Basisregistratie Personen (BRP)

• Paspoortuitvoeringsregeling Nederland (PUN)

• Digitale persoonsidentificatie (DigiD)

• Basisregistratie Adressen en Gebouwen (BAG)

• Basisregistratie Grootschalige Topografie (BGT)

• Basisregistratie Ondergrond (BRO)

• Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (GeVS/Suwinet)

Een verkorte weergave van de uitkomsten treft u aan in deze rapportage en de bijbehorende infographic “Informatiebeveiliging 2018”.

4

2. Activiteiten in 2018

In de volgende paragrafen wordt beschreven wat er in 2018 organisatiebreed op het gebied van informatiebeveiliging is gerealiseerd.

2.1 Chief Information Security Officer

De Chief Information Security Officer (CISO) is verantwoordelijk voor de coördinatie van en advisering over informatiebeveiliging. Aanvankelijk is deze CISO-functie tijdelijk ingevuld. Vanaf 1 maart 2018 is structurele formatie aanwezig en ingevuld. Daarmee heeft informatiebeveiliging een vaste plaats binnen de organisatie gekregen.

2.2 Werkgroep Informatiebeveiliging

De BIG kent 11 aandachtsgebieden die een rol spelen in de informatiebeveiliging. Uiteraard speelt ICT hierin een grote rol, maar ook personeelsbeleid, gebouwenbeheer, procesbewaking en

controlemechanismen zijn belangrijke schakels.

In de werkgroep Informatiebeveiliging zijn verschillende vakdisciplines vertegenwoordigd. Door in werkgroepverband de informatiebeveiliging aan te pakken wordt bevorderd dat alle relevante aspecten in beeld zijn en dat maatregelen en acties in onderlinge samenhang worden beoordeeld.

2.3 Information Security Management System

Als ondersteunende tool wordt een Information Security Management System (ISMS) gebruikt.

Hiermee kunnen de BIG-maatregelen worden beheerd en gemonitord. De evaluatie van deze maatregelen moet ingebed gaan worden in de organisatiebrede P&C-cyclus.

In 2018 is het ISMS uitgebreid met een ENSIA-module. Hiermee kan de gemeente efficiënter verantwoording afleggen aan het ministerie.

2.4 Aansluiting bij de Informatiebeveiligingsdienst

De Informatiebeveiligingsdienst (IBD) is een onderdeel van VNG Realisatie. Zoals de meeste Nederlandse gemeenten is gemeente Asten aangesloten bij de IBD. De IBD ondersteunt en adviseert gemeenten op het gebied van informatiebeveiliging. Daarnaast geven zij informatie over mogelijke bedreigingen. De IDB onderhoudt contacten met het Nationaal Cyber Security Centrum (NCSC) dat op zijn beurt weer in verbinding staat met gelijksoortige internationale organisaties.

2.5 Informatiebeveiligingsbeleid

Het college van B&W heeft in december 2018 het informatiebeveiligingsbeleid vastgesteld. In de periode 2018 - 2020 zet de gemeente in op drie speerpunten voor doorontwikkeling van

informatiebeveiliging.

Informatieveiligheid is geborgd in de organisatie

Het doel is om ‘in control’ te zijn op het gebied van informatiebeveiliging. ‘In control’ zijn betekent dat de gemeente weet welke passende technische en organisatorische maatregelen genomen moeten worden, welke maatregelen er al zijn en welke maatregelen nog moeten worden ingericht.

5 Het belang van informatieveiligheid is voor alle doelgroepen duidelijk

Mensen zijn de sleutel tot informatiebeveiliging. Voor een beveiligingsincident dat uitmondt in een datalek is vaak niet meer nodig dan een klik op een verkeerd linkje, een verkeerd geadresseerde e-mail met gegevens over een burger, een verloren laptop of het uitlenen van een toegangspas.

Dit risico kan alleen beheerst worden als dag-in-dag-uit gewerkt wordt aan bewustzijn van

medewerkers, als medewerkers veilige tools en procedures ter beschikking hebben om hun werk te doen en als bestuurders zelf het goede voorbeeld geven.

De P&C-cyclus voor informatieveiligheid is ingericht

De implementatie van informatiebeveiliging is een continu proces. Omgevingsfactoren en

navenante bedreigingen en kwetsbaarheden die deze met zich mee kunnen brengen, veranderen voortdurend.

2.6 Informatiebeveiligingsplan

Op basis van het informatiebeveiligingsbeleid gaat jaarlijks een informatiebeveiligingsplan opgesteld worden. Hierin wordt aangegeven op welke wijze de informatiebeveiliging wordt

verbeterd en welke tijdsplanning hierbij gehanteerd gaat worden. Een belangrijk punt voor 2019 is de implementatie van de Baseline Informatiebeveiliging Overheid (BIO).

2.7 Beveiligingsincidenten

Beveiligingsincidenten zijn gebeurtenissen die inbreuk maken op de informatieveiligheid. Dat kan van alles zijn: verlies of verminking van gegevens, storingen op systemen, ongeautoriseerde inzage van gegevens. Deze incidenten kunnen veroorzaakt worden door menselijk handelen, door bewuste inbreuken zowel van binnenuit als van buitenaf of door het uitvallen van techniek bij onszelf of bij partners.

Het aantal beveiligingsincidenten over 2018 is tot een minimum beperkt gebleven. Uitval van systemen heeft zich nauwelijks voorgedaan. Langdurige uitval (meer dan één uur) is helemaal niet voorgekomen. Storingen zijn beperkt gebleven tot deelsystemen.

Door de IBD zijn we regelmatig gewaarschuwd voor mogelijke bedreigingen van buitenaf. De bekendste dreigingen waren zwakheden in chips die in nagenoeg alle computers en systemen voorkomen en een phishing campagne gericht op gebruikers van DigiD. Geen enkele van deze bedreigingen heeft daadwerkelijk invloed gehad op onze systemen en onze informatieverwerking.

Gemeente Asten heeft in 2018 drie keer te maken gehad met een datalek. Deze vonden twee keer plaats in de verwerking binnen gemeente Asten en één keer in de verwerking binnen de

gemeenschappelijke regeling Senzer. Van deze datalekken is – conform de geldende richtlijnen – melding gemaakt bij de Autoriteit Persoonsgegevens. In voorkomende gevallen zijn de

betrokkenen geïnformeerd.

2.8 Relatie met privacy

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 is privacy volop in de schijnwerpers komen te staan. Privacy heeft alleen betrekking op

persoonsgegevens, waarbij dat begrip overigens ook heel ruim is. Zo kan het kenteken van een auto beschouwd worden als een persoonsgegeven als het herleidbaar is tot een individueel

6 persoon. Informatiebeveiliging heeft een breder aandachtsgebied. De beveiliging is bijvoorbeeld ook gericht op de bedrijfscontinuïteit en beperkt zich niet tot uitsluitend persoonsgegevens.

Toch is het niet vreemd dat privacy en informatiebeveiliging vaak in één adem worden genoemd.

Een aantal beveiligingsmaatregelen is van directe invloed op het waarborgen van de privacy.

Omgekeerd dragen privacy vereisten - zoals het afsluiten van verwerkersovereenkomsten - bij aan verhoging van de informatiebeveiliging. Informatiebeveiliging en privacy worden binnen gemeente Asten daarom in samenhang opgepakt.

7

3. Resultaten zelfevaluatie in 2018

3.1 Resultaten zelfevaluatie BIG

Onderwerpen uit de BIG zijn:

• Beveiligingsbeleid

• Organisatie van de informatiebeveiliging

• Beheer van bedrijfsmiddelen

• Beveiliging van personeel

• Fysieke beveiliging en beveiliging van de omgeving

• Beheer van communicatie- en bedieningsprocessen

• Logische toegangsbeveiliging

• Verwerving, ontwikkeling en onderhoud van informatiesystemen

• Beveiligingsincidenten

• Bedrijfscontinuïteit

• Naleving

In december 2018 heeft het college van B&W de Verklaring van Toepasselijkheid (VvT)

vastgesteld. De VvT geeft een overzicht van de stand van zaken met betrekking tot de invoering van de BIG-maatregelen per november 2018.

In totaal kent de BIG ruim 130 maatregelen. Bovenstaande grafiek geeft weer in hoeverre de maatregelen zijn geïmplementeerd. Een deel (38%) van de maatregelen is volledig ingevoerd en 32% van de maatregelen is gedeeltelijk geïmplementeerd. Dit laatste wil zeggen dat ze slechts in een deel van de organisatie ofwel tot op zeker hoogte zijn ingevoerd. Daarnaast is 20% van de maatregelen in zijn geheel (nog) niet ingevoerd. Een klein deel van de maatregelen (10%) wordt beschouwd als een geaccepteerd risico.

38%

32%

20%

10%

Status BIG-maatregelen per november 2018

Volledig geïmplementeerd Deels geïmplementeerd Gepland

Geaccepteerd risico

8 De BIG-maatregelen vallen globaal in drie categorieën uiteen. In de eerste plaats kent de BIG maatregelen die een direct beschermend karakter hebben. Denk daarbij aan het gebruik van wachtwoorden, het afsluiten van kwetsbare ruimtes, het maken van dagelijkse back-ups en het scannen van e-mail op virussen en andere bedreigingen. In deze categorie zijn al veel maatregelen doorgevoerd, maar deze kunnen op onderdelen nog aangescherpt worden. Daarnaast wijzigen de dreigingen van buitenaf continu, zodat een herbeoordeling van de effectiviteit van de maatregelen nodig blijft.

De tweede categorie betreft procedurele maatregelen. Daarbij gaat het om afspraken binnen en tussen teams. Deze afspraken zijn er in veel gevallen wel, maar zijn niet altijd geformaliseerd en vastgelegd.

Ten slotte is er nog een categorie maatregelen die te maken heeft met monitoring van en controle op de uitvoering van processen. Het afleggen van verantwoording in termen van meetbare

resultaten moet verbeterd worden.

Uit de VvT blijkt dat gemeente Asten nog stappen moet zetten om volledig te voldoen aan de normen. Op onderdelen zullen aanvullende beveiligingsmaatregelen nodig zijn, omdat daar hogere risico’s – bijvoorbeeld in verband met privacy – gelden. Maar vanwege het tempo van technische ontwikkelingen en de menselijke factor is 100% informatieveiligheid een illusie.

3.2 Resultaten per stelsel

Via de ENSIA systematiek is verantwoording afgelegd aan het Rijk. In de volgende paragrafen wordt per zelfevaluatie een toelichting gegeven. De bijbehorende rapportages zijn als bijlagen opgenomen bij deze rapportage.

3.2.1 Zelfevaluaties BRP en PUN

De Basisregistratie Personen (BRP) is onderdeel van het stelsel van basisregistraties van de Nederlandse overheid. De Nederlandse overheid registreert persoonsgegevens in de BRP. Alle overheidsinstellingen en bestuursorganen (zoals de Belastingdienst) zijn verplicht voor hun taken gebruik te maken van die gegevens. Het gaat daarbij onder andere om naam, geboortedatum, geboorteplaats, verblijfplaats en familierelaties. Met deze gegevens wordt bijvoorbeeld een paspoort en identiteitskaart verstrekt of wordt de hoogte van een studietoelage berekend.

Voor het uitgeven van paspoorten hebben gemeenten met betrekking tot. wetgeving te maken met de Paspoortuitvoeringsregeling Nederland 2001 (PUN).

Jaarlijks moeten gemeenten verantwoording afleggen over het gebruik van de BRP en de PUN. Met de komst van ENSIA is het inhoudelijke deel afgesplitst van het beveiligingstechnische deel. Het inhoudelijke deel, dat onder andere kijkt naar de kwaliteit van de persoonsgegevens in het BRP en de inrichting van de verwerkingsprocessen, wordt door de vakafdeling uitgevoerd. Het

beveiligingstechnische deel wordt op basis van de BIG-richtlijnen uitgevraagd.

9 De zelfevaluaties BRP¹ en PUN² zijn ingediend zodat de externe toezichthouder (het ministerie van Binnenlandse zaken en Koninkrijkszaken) zich hierover een oordeel kan vormen.

Op het inhoudelijke deel van de zelfevaluaties scoort gemeente Asten binnen de gestelde normen.

Het ENSIA-deel van de PNIK-vragenlijst voor de zelfevaluatie PUN scoort op het onderdeel

‘toegangsbeveiliging’ wat lager, namelijk 89,9%. Het ENSIA deel van de BRP-vragenlijst scoort op het onderdeel ‘organisatie van de beveiliging’ wat lager, namelijk 81,2%. Ten opzichte van de BRP- zelfevaluatie 2017 is er een substantiële stijging in het percentage geïmplementeerde maatregelen merkbaar.

3.2.2 Zelfevaluatie Suwinet

Suwinet is het systeem voor informatie-uitwisseling in de keten van werk en inkomen. Suwinet wordt beschikbaar gesteld onder bepaalde voorwaarden, de SUWI verantwoordingsrichtlijn. De SUWI Verantwoordingsrichtlijn bevat het normenkader met de normen waaraan de beveiliging van de Gegevensuitwisseling elektronische Voorziening Suwinet (GeVS) moet voldoen.

De verantwoording aan de toezichthouder is gebeurd via een collegeverklaring³ en bijlage⁴ in voorgeschreven format. Onze externe auditor heeft deze beoordeeld en gewaarmerkt. Daarnaast heeft hij een assurance-rapport⁵ opgesteld waarin staat dat de verklaring een juist beeld geeft van de werkelijkheid.

Gemeenschappelijke regeling Senzer

De gemeente heeft haar SUWI-taken op het gebied van de Participatiewet, IOAW en IOAZ opgedragen aan de gemeenschappelijke regeling Senzer als uitvoerend lichaam (mandaat).

Desondanks blijft de gemeente verantwoordelijk voor Suwinet.

In 2017 voldeed Senzer niet aan het gestelde normenkader. Senzer heeft de geconstateerde tekortkomingen in 2018 opgepakt. Ook in 2018 heeft Senzer een audit laten uitvoeren door een gecertificeerde IT-auditor. De zogenaamde Third Party Memorandum (TPM) die door de auditor is opgesteld laat zien dat Senzer aan het normenkader voldoet. Daardoor voldoet gemeente Asten (als verantwoordelijke) ook aan de normen.

Burgerzaken

Gemeente Asten gebruikt Suwinet Inkijk binnen Burgerzaken voor BRP-(adres)onderzoeken. In 2017 voldeed gemeente Asten niet aan het normenkader. Gemeente Asten heeft de

geconstateerde tekortkomingen in 2018 opgepakt. Ook in 2018 heeft onze externe IT-auditor een audit uitgevoerd op het gebruik van Suwinet Inkijk en heeft geconstateerd dat gemeente Asten aan het normenkader voldoet.

1 Uittreksel zelfevaluatie BRP

2 Uittreksel zelfevaluatie PNIK

3 Collegeverklaring ENSIA 2018 inzake Informatiebeveiliging Suwinet

4 Bijlage bij collegeverklaring ENSIA 2018 inzake Informatiebeveiliging Suwinet

5 Assurance-rapport

10 3.2.3 Zelfevaluatie DigiD

Sinds oktober 2018 is gemeente Asten DigiD aansluithouder. Binnen 2 maanden nadat de aansluiting is geactiveerd is een assessmentrapportage ingediend. Logius heeft op basis van het auditrapport vastgesteld dat gemeente Asten heeft voldaan aan de voorwaarden DigiD. In de eerste 14 maanden na activatie hoeft geen zelfevaluatie over de aansluiting uitgevoerd te worden.

3.2.4 Zelfevaluatie BAG

Met het formeel van kracht worden van de gewijzigde Wet BAG in 2018 is de zelfcontrole BAG met ingang van 1 juli 2018 een wettelijke verplichting voor gemeentelijke bronhouders BAG.

Aan de hand van de vragenlijst is de zelfevaluatie BAG uitgevoerd. Op grond daarvan is de verantwoordingsrapportage⁶ opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BAG door de lijnverantwoordelijken levert een puntenscore op van 195 uit het maximaal aantal te behalen punten van 205. Deze score is te beoordelen als goed.

Score gemeente Asten ten opzichte van de maximale score BAG

3.2.5 Zelfevaluatie BGT

Op basis van de Wet BGT is in het kader van horizontale en verticale verantwoording een methode van zelfcontrole ingevoerd. Over 2018 is de ENSIA BGT zelfcontrole een wettelijke verplichting.

Aan de hand van de vragenlijst is de zelfevaluatie BGT uitgevoerd. Op grond daarvan is de verantwoordingsrapportage⁷ opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BAG door de lijnverantwoordelijken levert een puntenscore op van 140 uit het maximaal aantal te behalen punten van 150. Deze score is te beoordelen als goed.

6 Verantwoordingsrapportage BAG 2018

7 Verantwoordingsrapportage BGT 2018 0

10 20 30 40 50 60 70 80 90

Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score

11 Score gemeente Asten ten opzichte van de maximale score BGT

3.2.6 Zelfevaluatie BRO

In navolging van de basisregistraties BAG en BGT wordt in het kader van horizontale en verticale verantwoording ook voor de basisregistratie BRO een methode voor zelfcontrole ingevoerd. De zelfcontrole over 2018 is nog niet wettelijk verplicht, maar door de toezichthouder wordt wel verwacht dat deze wordt uitgevoerd.

Aan de hand van de vragenlijst is de zelfevaluatie BRO uitgevoerd. Op grond daarvan is de verantwoordingsrapportage⁸ opgesteld die door het college van B&W is vastgesteld. De zelfevaluatie BRO door de lijnverantwoordelijken levert een puntenscore op van 20 uit het

maximaal aantal te behalen punten van 120. Deze score is te beoordelen als onvoldoende. Hieraan worden, vanwege het niet verplichte karakter van de zelfevaluatie, door de toezichthouder nog geen consequenties verbonden.

Score gemeente Asten ten opzichte van de maximale score BRO

8 Verantwoordingsrapportage BRO 2018 0

10 20 30 40 50 60 70 80

Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score

0 10 20 30 40 50 60 70 80

Borging proces Tijdigheid Volledigheid Juistheid Score Asten Maximale score

12

4. Vooruitblik 2019

In de voorgaande hoofdstukken is beschreven wat er in 2018 organisatiebreed op het gebied van informatiebeveiliging is gerealiseerd en wat de resultaten van de zelfevaluaties zijn. In dit

hoofdstuk wordt kort aangegeven waar de acties in 2019 liggen.

4.1 ISMS

Het ISMS zal verder worden ingezet als beheerinstrument. Op dit moment is het vooral een tool voor de CISO, maar in de toekomst zullen ook andere actiehouders (zoals P&O en

gebouwenbeheer) het ISMS gaan gebruiken voor het beheer van de voor hen relevante beveiligingsmaatregelen.

De leverancier van ons ISMS gaat aanpassingen doorvoeren om de tool gereed te maken voor de BIO. Daarnaast worden speciale voorlichtings- en opleidingsdagen georganiseerd met uitleg en begeleiding van de te nemen conversiestappen.

4.2 Bewustwording

De schade als gevolg van inbreuken op de informatieveiligheid loopt voor de Nederlandse gemeenten jaarlijks in de miljoenen euro’s. Meer dan een kwart van die inbreuken is een gevolg van menselijk handelen. Het gaat dan om dingen die gebruikers doen of juist nalaten, door onwetendheid of doordat men zich niet bewust is van risico’s.

Op dit vlak is dus veel winst te behalen. In combinatie met voorlichting over privacy zal

informatiebeveiliging regelmatig onder de aandacht van de medewerkers worden gebracht. Het heeft weinig zin om veel geld en inspanning te spenderen aan het inrichten van allerlei technische maatregelen als het menselijk handelen in de beveiligingsketen geen aandacht krijgt.

4.3 Maatregelen invoeren

Het invoeren van de maatregelen gaat in 2019 verder. Dit betekent niet dat alle maatregelen ook tot in de volle breedte in 2019 ingevoerd zullen zijn. Daar is het aantal maatregelen te omvangrijk voor en bovendien speelt hierin ook een kostenaspect.

De BIO is per 2020 de opvolger van de BIG waarbij het jaar 2019 als overgangsjaar is ingesteld.

Het grote verschil tussen de BIG en BIO is dat de BIO op de meest actuele versie van ISO 27002 is gebaseerd en dat de BIO meer ruimte geeft voor het treffen van passende maatregelen op basis van risicomanagement.

In 2019 zal een aanvang worden gemaakt met de implementatie van de BIO. Hierbij wordt gebruik gemaakt van de ondersteuning van de IBD en de leverancier van ons ISMS.

4.4 Basisregistraties

Gegevens vormen de bouwstenen waaruit informatie voor de sturing, beheersing en uitvoering van de gemeentelijke processen wordt geproduceerd. Gegevens zijn hiermee één van de belangrijkste bedrijfsmiddelen van de gemeente en dienen daarom ook zo behandeld te worden. De kwaliteit, actualiteit en compleetheid van de basisregistraties is van groot belang.

13 Basisregistratie Personen en Paspoortuitvoeringsregeling Nederland

Bij het implementeren van de BIG/BIO-maatregelen moet ten behoeve van de BRP en de PUN specifiek aandacht zijn voor toegangsbeveiliging en organisatie van de beveiliging.

Basisregistratie Adressen en Gebouwen

Aandacht voor gegevensaanlevering blijft belangrijk. De huidige manier van aanlevering kan in de toekomst zorgen voor een lager percentage tijdige verwerking.

Basisregistratie Grootschalige Topografie

Door uitbesteding en decentralisatie van taken en door versnippering van het applicatielandschap wordt het moeilijker om grip te houden op de processen. Directe communicatie is niet altijd meer mogelijk en geautomatiseerde berichtverwerking ontbreekt. Dit stelt extra eisen aan processen en de controles daarop.

Basisregistratie Ondergrond

In 2019 zal de BRO verder geïmplementeerd gaan worden. Naar verwachting zal het voor gemeente Asten hoofdzakelijk een aanpassing zijn in het inkooptraject en het Programma van Eisen voor opdrachten die worden uitgezet in de markt. Vervolgens moet goed opdrachtgeverschap in het proces geborgd worden zodat de juiste gegevens worden opgenomen in de landelijke

voorziening.