Gegevensverwerking en Privacy in het Sociaal Domein Een visiedocument om richting te geven aan de lerende praktijk.

Insteek document: Opmaat naar integrale visie op privacy in het gemeentelijk domein. Richting geven aan de “lerende praktijk” Handvat geven aan professionals

Handvat Hoofdstuk 3 Stappenplan Hoofdstuk 4 Gedragsregels

Taak-doel-relatie Aan de hand van: -de taken/werkzaamheden die de organisatie uitvoert, -de op die taken en werkzaamheden gebaseerde doelen waarvoor gegevens verwerkt worden en -de relatie die er daarbij met de betrokkene bestaat (of soms juist niet bestaat), -kan een beoordeling gegeven worden of en welke gegevens in een bepaalde situatie noodzakelijk zijn.

Gedragsregels Moeten nog omgebouwd worden naar publiceerbare regels.

Richting geven aan lerende praktijk Sociaal domein is nog volop in ontwikkeling Transformatie moet nog plaatsvinden Ontwikkeling naar eigenaarschap informatie van overheid naar burgers Van toestemming naar transparantie naar wederzijdse transparantie Beleid “under construction”

Opmaat naar integrale visie privacy Visie Privacy Sociaal Domein nauw verbonden met informatiebeveiliging Maar ook met andere gemeentelijke onderdelen Visie steeds verder verbreden en gebruiken als kapstok Toewerken naar uitvoeringsagenda Informatiebeveiliging & Privacy

Visie: Extern & eigen ambities Strategisch/Richten Operationeel/Verrichten Lokale doelen: Collegeprogramma  maximale standaardisatie voor het beleid, architectuur, infrastructuur, processen en programmatuur  Digitaal en zaakgericht werken  Eenmalige opslag, meervoudig gebruik van gegevens  Informatie wordt overheidsbreed gedeeld en gebruikt  Vermindering van administratieve lasten waarbij transacties zo eenvoudig, inzichtelijk en goedkoop mogelijk zijn  Alle kanalen staan open voor de burgers, bedrijven en instellingen, we hanteren de prioritering Klik, bel, kom.  De gemeente is de poort tot de totale overheid  Waar mogelijk werken we samen met andere organisaties aan de dienstverlening aan onze inwoners. De inwoner van Enschede staat centraal. Vanuit dat uitgangspunt inspireert, initieert, arrangeert, faciliteert en handhaaft de overheid waar nodig. De gemeente is betrouwbaar, dienstbaar, transparant en herkenbaar. Vanuit dat beeld krijgt de gemeente het vertrouwen van haar inwoners, maar geeft ze ook vertrouwen. Het delen van verantwoordelijkheden biedt mensen kansen en laat zoveel mogelijk de verantwoordelijkheden in de samenleving. De informatievoorziening maakt toegankelijkheid en transparantie van dienstverlening mogelijk door inzicht geven in informatie. We zetten de beweging in van transparantie door de gemeente naar wederzijdse transparantie tussen inwoner/ondernemer en overheid. DienstverleningsprincipesDienstverleningsprincipes Wat komt op de gemeente af?  De inwoner en ondernemer staat aan het stuur, we doen een beroep op hun eigen verantwoordelijkheid ten aanzien van leven en ondernemen.  Waar mogelijk zetten we lichte vormen van dienstverlening en ondersteuning in. Waar nodig leveren we (tijdelijk) maatwerk naar inwoners en ondernemers.  Het primaire kanaal van dienstverlening is internet. In tweede instantie kan de inwoner/ondernemer telefonisch contact opnemen. Wanneer het nodig is kan hij ook aan de balie komen of komen we bij hem thuis. (klik, bel, kom).  We zoeken het optimum tussen efficiënte en effectieve dienstverlening (balans kosten en baten).  Dienstverlening wordt generiek en gestandaardiseerd ingericht. In specifieke gevallen kan hiervan afgeweken worden.  Als gemeente gaan we uit van samenwerking. Met partners lokaal, regionaal en landelijk.  We bieden inwoner en ondernemer één overheidspoort, één toegang via bijv. MijnOverheid.nl.  Enschede werkt volledig op afspraak.  We gebruiken de gegevens die we hebben en vragen niet dubbel uit. Lokale en Intergemeentelijke Principes informatievoorziening Lokale en Intergemeentelijke Principes informatievoorziening Landelijke Informatie Projecten Ontwikkelingen Informatie trends Lokale ambities ambtelijke org.  Missie gemeente: Wij werken deskundig en met verantwoordelijkheidsgevoel voor bestuur en samenleving. Ons doel is een goed functionerende gemeente en een stad waarin het plezierig samenleven is voor bewoners en bezoekers  Visie gemeente: Gegeven de door raad en college gestelde kaders en doelen streven wij naar een in alle opzichten optimaal woon-, werk-, en leefklimaat voor burgers, bedrijven en organisaties in Culemborg. Wij houden hierbij zoveel mogelijk rekening met de wensen van de Culemborgse samenleving  Visie directie “Naar een succesvolle en aantrekkelijke werkorganisatie” (2012)  Medewerkers dienen zelfstandig en verantwoordelijk te functioneren  Leiding stuurt minder op input en meer op output (resultaten). Vertrouwen is hierbij belangrijk  Een succesvolle en aantrekkelijke organisatie zijn. Voldoende goed gekwalificeerd personeel aantrekken en een lerende organisatie zijn. Kennis moet levend zijn en blijven  Invoeren van Het Nieuwe Werken  Op- en uitbouwen van intergemeentelijke samenwerking  Bezuinigen, personeelsreductie en schrappen/verminderen activiteiten  Bevorderen burgerparticipatie.  In ontwikkeling – Samen delen Kernwoorden hierin: verbinden, versterken en verzakelijken  Meer zelfredzaamheid in samenleving, transformatie sociaal domein  Nieuwe Europese privacy regels 2016  Visie Minister Plasterk: Burgers kunnen in 2017 digitaal zaken doen met gemeenten  Intergemeentelijke samenwerking: IBO, SSNT, Regio Twente, Dimpact, RUD, GBI  Reorganisatie  Bezuinigingen bij het Rijk en lokaal  Gemeentelijke Model Architectuur 2.0 (GEMMA), Werken onder architectuur, Basisgemeente  Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)  Digitale Overheid 2017  Programma Informatievoorziening Sociaal Domein 2.0, KING.  Digitale StedenAgenda/Smart City  Digitaal werken & zaakgericht werken  Digitale toegang voor burgers tot eigen (digitaal) dossier  Cloud oplossingen  Informatiebeveiliging & privacy aspecten  Ketensamenwerking (één plan, één regisseur)  Het Nieuwe Werken  Bring Your Own Device  Gebruik Social Media  The Internet of Things, smart city concept  Open data, Big data  Software as a Service (SAAS-toepassingen)  Smart Grids, duurzaamheid Tactisch/Inrichten Informatiebeveiliging en Privacy Gemeente Enschede Aanleiding Een reeks incidenten, waaronder ook Lektober en het omvallen van Diginotar Resolutie Informatiebeveiliging Resolutie ‘Informatiebeveiliging VNG Vier kernprincipes: 1.Bestuurlijke borging 2.Organisatorische inbedding 3.Transparantie 4.Verantwoording Doelen informatiebeveiliging/privacy 1.De betrouwbaarheid van de informatievoorziening waarborgen 2.In control zijn en hierover professionele verantwoording afleggen 3.Minimalisatie van de eventuele gevolgen voor de organisatie als gevolg van incidenten 4.Compliance zijn Verantwoordelijkheden en bevoegdheden De gemeenteraad: controleert B&W Het college van B&W: is integraal eindverantwoordelijk voor de informatiebeveiliging en privacy. De directie: is kaderstellend, geeft sturing aan informatiebeveiliging en privacy en controleert op de naleving Functionaris Gegevensverwerking en Chief Information Security Officer (verder uitwerken) Afdelingen en teams: zij zijn verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid en privacy Medewerkers: zij zijn verantwoordelijk voor hun eigen gedrag en voor de naleving van procedures Waarom informatiebeveiliging en privacy De gemeente krijgt steeds meer taken gedecentraliseerd vanuit Rijk en Provincie. Daarmee ook grotere verantwoordelijkheid voor de informatievoorziening. Informatie is een van de belangrijkste bedrijfsmiddelen van de gemeente en tevens noodzakelijk om de processen te laten functioneren. Dit vraagt zorgvuldigheid en betrouwbaarheid van de overheid met (waar mogelijk) transparantie naar inwoners en bedrijven toe. De aspecten van informatiebeveiliging en privacy Het gaat om het verzamelen, verwerken en delen van informatie in de vormen: digitaal, analoog en kennis. Het gaat om het waarborgen van de betrouwbaarheidsaspecten van de informatievoorziening: beschikbaar, integer en vertrouwelijk. Informatiebeveiliging en waarborgen van privacy heeft te maken met de dienstverlening van en door de gemeente, mens (houding en gedrag), organisatie (procesinrichting) en techniek (informatievoorziening). Resultaat 1.Gemeente is een aantoonbare betrouwbare partner 2.Betrouwbare informatievoorziening 3.Geen ongeoorloofd gebruik en of – toegang tot de informatie van en over inwoners/ondernemers 4.Verminderde auditlast Scope informatiebeveiliging De scope omvat alle processen, onderliggende informatiesystemen en informatie van de gemeente in de meeste brede zin van het woord. Het informatiebeveiligingsbeleid is de algemene basis voor de informatiebeveiliging. Het beleid “gegevensverwerking en privacy in het sociaal domein is de basis voor het privacybeleid. Voor bepaalde onderdelen gelden op grond van wet- en regelgeving aanvullende beveiligingsmaatregelen en privacyregels (zoals bij BAG, SUWI, BRP en DigiD). Informatiebeveiliging voorkomt Informatiebeveiliging streeft naar het voorkomen of het minimaleren van de impact van: Het lekken en manipuleren van informatie Virussen, malware, social engineering Uitval ICT-systemen, onderbreking proces Identiteitsfraude Imagoschade, vertrouwensbreuk Verkeerd verzamelen, verwerken en delen van informatie Kaders Niet limitatief / belangrijkste kaders: Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) NEN ISO (ISMS) WBP (hoofdzakelijk art. 13) BRP DigiD Suwinet PUN Archiefwet Taken Het college van B&W: stelt het informatiebeveiligingsbeleid (incl. uitgangspunten) vast en zorgt voor de noodzakelijke resources om hier uitvoering aan te geven De directie: stelt beleidsdocumenten vast, draagt het informatiebeveiligingsbeleid uit. Adviseur informatiebeveiliging: geeft namens de directie ‘handen en voeten’ aan informatiebeveiliging, treedt adviserend en coördinerend op op het gebied van informatiebeveiliging, houdt toezicht op de algehele werking van het informatiebeveiligingsbeleid en faciliteert de implementatie van dit beleid (CISO-rol) Afdelingen en teams: opstellen van impact-, dreigingen-, kwetsbaarheids- en risicoanalyse, voor het implementeren beveiligingsmaatregelen en sturen op bewustwording bij medewerkers Medewerkers: verantwoordelijk gedragen, elkaar aanspreken op gedrag en werken aan bewustwording Het proces informatiebeveiliging verloopt via het ISMS De werking van het Information Security Management System (ISMS) Opbouw De visie en algemene uitgangspunten Organisatie van de informatiebeveiliging Beheer van bedrijfsmiddelen Personele beveiliging Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerking, ontwikkeling en onderhoud van informatiesystemen Beheer van beveiligingsincidenten Bedrijfscontinuïteitsbeheer Naleving Ontwikkelingen/acties 2015/2016 Informatieanalyse Sociaal Domein. Gemeenten hebben meer taken en verantwoordelijkheden gekregen en beschikken mede daardoor over veel informatie over inwoners en ondernemers. Een zorgvuldige en bewuste omgang is vereist. Doel: In beeld krijgen welke informatie een professional echt nodig heeft om tot een plan te komen. Wat: een informatieanalyse uitvoeren met professionals, procesmanagers, beleidsmakers. Wie: Gemeente Enschede (MO, W&I, IT Bedrijf, CIO), PBLQ, BZK, VWS, VenJ, SZW, KING, VNG Wanneer: Q1/ Budget: nvt. Gesprek met Raad over Privacy Doel: bewustwording en borging beleid gegevensverwerking en privacy op bestuurlijk niveau. Transparantie naar de samenleving. (besluitvorming heeft in college plaatsgevonden). Wat: Gesprek adhv notitie Gegevensverwerking en Privacy in het sociaal domein. Wie: Raad, Wethouder Eerenberg, CIO (office), JZ) Wanneer: Q afhankelijk van agendering door Raad Budget: nvt. Eigenaar poster: Elbert Bloemink/Dick Laan, Gemeente Enschede Kabinetsvisie Privacy Sociaal Domein N.a.v. decentralisaties opgesteld. Uitgangspunten:  WBP is leidend  Hergebruik gestandaardiseerde gegevens moet geregeld zijn in de betreffende sectorale wet- en regelgeving, op basis van wederkerigheid  Richting geven aan lerende praktijk  Versterking positie van de inwoner  College verantwoordelijk, legt verantwoording af naar de Raad Deskundigheidsbevordering Privacy en beveiliging medewerkers Sociaal Domein Doel: bewustwording en borging beleid gegevensverwerking en privacy bij professionals. Wat: Ontwikkeling training voor professionals, waar mogelijk in samenwerking met Rijk / VNG Wie: Werkgroep Privacy, Departementen, VNG, Twentse School Wanneer: Q1 / Budget: ntb Aanstellen Functionaris Gegevens-bescherming (FG) Nieuwe europese regelgeving dwingt af dat gemeenten een FG in dienst moeten hebben. Vorig jaar is besloten om tot aanstelling van een FG over te gaan. Realisatie in Doel: bewustwording en borging beleid gegevensverwerking en privacy in de organisatie. Wat: Aanstellen FG. Wie: Concernstaf Gemeente Enschede Wanneer: Q Budget: is reeds gereserveerd. Impactanalyse nieuwe europese privacywetgeving. De aankomende nieuwe regels voor privacy kunnen een forse impact hebben op de organisatie en de maatregelen om risico’s af te dichten. Een aantal punten uit de nieuwe europese regelgeving: -Boetes tot max 1 mln euro -Verplichte aanstelling functionaris gegevensbescherming -Melden van datalekken binnen 72 uur -Documentatieplicht -Zelfstandige verantwoordelijkheid bewerkers. -Voorwaarden voor toestemming -Recht op het laten wissen van gegevens Doel impactanalyse: in beeld brengen wat de gevolgen van deze wetgeving voor de gemeente zijn. Wat: Uitvoeren impactanalyse Wie: JZ evt ism SSNT Wanneer: 2015 (wetgeving gaat waarschijnlijk per 2017 in. Budget: nvt. Veilige Gegevensuitwisseling SUWI net Eind 2013 is er een kritisch rapport verschenen over het gebruik van SUWI net binnen de gemeenten. Aan de hand van dit rapport heeft de VNG een verbeterplan opgesteld met de volgende punten: 1)Het ontwikkelen van een meer fijnmazige autorisatiestructuur gemeenten 2)Verbetering van de logging en gebruikersrapportages 3)Ontwikkelen en vaststellen gebruiks- en aansluitvoorwaarden Suwinet inlezen 4)Ketenbrede awareness campagne 5)Beleid inzake misbruik gegevens door medewerkers 6)Herijking SUWI normenkader irt BIG 7)Telewerken en doorleveren van gegevens 8)Beperking van zoeksleutels in SUWI Inkijk 9)Onderzoek naar haalbaarheid beperking toegang SUWI net 10)Analyse van bepaalde gegevens in risicoklassen MinSZW neemt de volgende maatregelen ter hand: a)De suwi-regelgeving herijken (dereguleren) b)Levering van informatie ipv gegevens mogelijk maken c)Transparantie naar inwoner uitwerken d)Afsluitbeleid bij wanprestaties vormgeven Wanneer: Q1 en Wie: W&I, CIO en IT Bedrijf

Over naar Henk Wolsink

De bouwstenen voor Privacy Producten Diensten Kanalen Processen Besturing Organisatie Systemen Informatie Leiderschap Medewerkers HOE: De wijze waarop de gemeente de werkprocessen inricht en de privacy daarin borgt. WAARMEE: De informatievoorziening (geheel aan systemen en informatie) welke nodig is om de info.beveiliging en privacy te waarborgen. WIE: Voor goede dienstverlening zijn competente medewerkers en leidinggevenden nodig die vanuit de visie op dienstverlening ook rekening houden met privacy en beveiliging informatie. WAT: Beschrijving producten/diensten en strategie via welke kanalen deze aangeboden en privacy geborgd moet worden. 11

Vraagstelling Welke activiteiten heeft jouw gemeente op elke bouwsteen nog nodig? Wat kan de samenwerking binnen SSNT daaraan bijdragen?