Quick Scan- Informatiebeveiliging DAL- gemeenten...beveiliging bij de medewerkers van de gemeenten....

Quick Scan - Informatiebeveiliging DAL-gemeenten

Rekenkamercommissie DAL (Delfzijl, Appingedam en Loppersum)

Utrecht, 24-01-2018

Drs. E.J.M. Lemmens, Prae Advies & Onderzoek

Prae> – Quick Scan Informatiebeveiliging – DAL-gemeenten

2

Inhoud

Samenvatting, conclusies en aanbevelingen 3

1 Inleiding 6

2 Aanleiding 6

3 Aanpak 7

4 Vraag en antwoord 9

Bijlage 1. Lijst geïnterviewden en geraadpleegde literatuur 19

Bijlage 2. Verklarende woordenlijst en afkortingen 21


3

Samenvatting, conclusies en aanbevelingen

De Rekenkamercommissie van de DAL-gemeenten heeft eind 2017 een quick scan laten uitvoeren

naar informatiebeveiliging. Gemeenten krijgen steeds meer (digitale) informatie te verwerken en

informatiesystemen blijken kwetsbaar te zijn. Gemeenten lopen daardoor risico dat (privacy-

gevoelige) gegevens van burgers of bedrijven/instellingen verloren gaan of misbruikt worden. De

gemeenten hebben in VNG-verband besloten de digitale veiligheid te verbeteren, door de

zogenoemde Baseline Informatiebeveiliging Gemeenten (BIG) te volgen. In deze quick scan heeft de

rekenkamercommissie de vorderingen van de DAL-gemeente onderzocht, en daarbij ook aandacht

besteed aan het aanpalende terrein van de gegevensbescherming. De Algemene Verordening

Gegevensbescherming is vanaf 25 mei 2018 in de gehele EU van kracht.

Bij deze onderwerpen ontkomen we er niet aan afkortingen en specialistische Nederlandse en

Engelse termen te gebruiken. Vandaar dat in bijlage een verklarende lijst met afkortingen en

omschrijvingen is opgenomen.

In het algemeen kan geconstateerd worden dat Delfzijl, Appingedam en Loppersum sturen op de

uitgangspunten van de BIG. Het informatiebeveiligingsbeleid is gebaseerd op een GAP-analyse ten

opzichte van de maatregelen uit de BIG en een risicoanalyse. Deze zijn ongeveer anderhalf jaar

geleden geupdate in de drie gemeenten en hun informatiebeveiligingsbeleid wordt daarop

aangepast. Op basis daarvan worden prioriteiten vastgesteld en in jaarplannen ingebracht. Bij het

management en de ambtelijke staf op informatiebeveiliging constateert de rekenkamercommissie

een duidelijk gevoel van urgentie voor de opgave die de gemeenten op informatiebeveiliging en

gegevensbescherming wacht. Dat gevoel begint langzaam ook bij de colleges en de medewerkers in

de lijn te ontstaan. Daar is nog terrein te winnen.

De drie gemeenten werken op automatisering samen in het GemCC, op hardware. De bedoeling was

om eind 2017 daar ook een aanstelling van een gezamenlijk Chief information security officer (CISO)

te realiseren. Dat is nog niet gerealiseerd. Aansturing van een gemeenschappelijke regeling die op

afstand van de eigen organisatie staat is vaak lastig. Dat vraagstuk lost zich bij het GemCC op als de

beoogde fusie doorgaat. Tot dan is het zaak om een goede link te leggen tussen de uitvoering in de

GR en de gemeentelijke apparaten. Door de aanstelling van een informatiemanager bij het GemCC

willen de gemeenten ook meer en meer samenwerken op dat terrein. Ten tijde van de ambtelijke

hoor en wederhoor was daarvoor nog een vacature, en aangegeven wordt dat het lastig is daarvoor

geschikte kandidaten te vinden.

De drie gemeenten hebben zaken op informatiebeveiliging al op orde, maar er is nog geen gevoel bij

de ambtelijke leiding aanwezig van ‘in control zijn’. De rekenkamercommissie constateert dat dit met

een aantal aspecten te maken heeft. Enerzijds gaat het om de extra inspanningen om informatie-

beveiligingsbeleid op peil te brengen om adequaat met hedendaagse en toekomstige uitdagingen om

te gaan. Dat geldt ook voor de implementatie van de AVG, die per 25 mei 2018 volledig van kracht is.

Momenteel ervaren de gemeenten moeite met het werven van geschikte kandidaten voor de

daarvoor benodigde functies en expertise. De gemeenten zijn op informatiebeveiligingsvlak

afhankelijk van ingehuurde kennis. Daarop wil de rekenkamercommissie de volgende aansporing

doen:

1. Aansporing aan de colleges: zet voldoende middelen en formatie in, teneinde de opdracht en

uitdagingen die de drie gemeenten hebben op informatiebeveiligingsbeleid en AVG te


4

adresseren. Zorg dat de kennis, ook de extern ingehuurde kennis, zoveel als mogelijk

geborgd wordt in de organisatie. In aanloop tot de herindeling bij voorkeur gezamenlijk via

het GemCC.

Aanbevolen wordt de onderstaande aanbevelingen in het huidige jaarplan van de gemeenten op

informatiebeveiliging op te nemen.

De gemeenten voldoen aan de vereisten van de jaarlijkse audits en testen van de applicaties. Onder

andere daarover wordt gerapporteerd in het geautomatiseerde informatiemangementsysteem

(ISMS). Dat voedt de planning- en controlcyclus. Het ISMS is nog niet gekoppeld aan de leer- of PDCA-

cyclus. Daardoor worden mogelijk kansen gemist om te leren van de op informatiebeveiliging

gegenereerde managementinformatie.

2. Aanbeveling aan de colleges: koppel de informatie uit het ISMS aan de leer- of PDCA-cyclus.

In de risicoanalyses bij de gemeenten is het risico op (zware) aardbevingen niet meegenomen. Het

continuïteitsplan van het GemCC dateert van voor de zware aardbeving van 2012. Dit risico heeft

uiteraard een breder effect op de continuïteit van de dienstverlening van de gemeente dan alleen op

het terrein van informatiebeveiliging. Gezien de zeer recente ervaringen in de regio acht de reken-

kamercommissie het aan te bevelen dit risico expliciet in de risicoanalyse voor informatiebeveiliging

mee te nemen. Datzelfde geldt uiteraard ook voor het GemCC, waar een groot deel van de hardware

van de drie gemeenten gehuisvest wordt.

3. Aanbeveling aan de colleges: update de risicoanalyses en adresseer het aardbevingsrisico

expliciet in het kader van informatiebeveiligingsbeleid.

Uit de gesprekken blijkt dat bij het GemCC een continuïteitsplan aanwezig. De rekenkamercommissie

constateert dat deze dateert uit 2010, van voor de periode van aardbevingen in de provincie vanaf

2012. Voor burgerzaken bij de gemeenten is een aparte uitwijk met hetzelfde doel georganiseerd, de

andere applicaties worden bij een verstoring door andere gemeenten overgenomen. De rekenkamer-

commissie constateert dat de drie gemeenten geen eigen continuïteitsplan hebben en dat er bij

onverhoopte calamiteiten geen team klaarstaat bij de drie gemeenten om snel in te grijpen, zoals

een Computer emergency response team (CERT) bedoeld is. Tevens constateert de rekenkamer-

commissie dat er bij de gemeenten, noch bij het GemCC, een incidentenregistratiesysteem aanwezig

is.

4. Aanbeveling aan de colleges: zet een incidentenregistratiesysteem en een Computer

emergency response team (CERT) op, bij voorkeur gezamenlijk voor de drie gemeenten bij

het GemCC. Breng het continuïteitsplan van het GemCC uptodate, zodanig dat het ook als

continuïteitsplan voor de drie gemeenten kan gelden in aanloop tot de herindeling.

De rekenkamercommissie constateert dat autorisaties op de applicaties, dat wil de zeggen de

toegangsrechten tot de gegevens in de applicaties met persoonsgegevens, bij in- en uitdiensttreding

gecheckt worden. Maar niet consequent periodiek bij functiemutaties. Dat leidt tot de volgende

aanbeveling.

5. Aanbeveling voor de colleges: zorg voor een periodieke check op de autorisaties van

medewerkers door de applicatiebeheerders, bij voorkeur eens per kwartaal.

Geconstateerd wordt dat degenen die bij de gemeenten met informatiebeveiliging bezig zijn weinig

zicht hebben op de informatiebeveiligingsaspecten bij de verwerkersovereenkomsten die de


5

gemeenten met derden sluiten. Ook constateert de rekenkamercommissie dat nog niet met alle

partijen een verwerkersovereenkomst aanwezig is. Mede met het oog op de implementatie van de

Algemene Verordening Gegevensbescherming en de privacyaspecten die daarmee gemoeid zijn leidt

dat tot de volgende aanbeveling.

6. Aanbeveling voor de colleges: sluit met alle partijen die ten behoeve van de gemeenten

gegevens van burgers verwerken verwerkersovereenkomsten af. Laat deze door de CISO

checken op risico’s op informatiebeveiliging en door de FG op privacyaspecten.

De drie gemeenten hebben pas stap 1 en 2 gerealiseerd van de aansluiting bij de Informatie-

beveiligingsdienst voor gemeenten (IBD), namelijk het benoemen van de algemene en vertrouwelijke

contactpersonen voor de IBD. Stap 3 (doorgeven van de door de gemeenten gebruikte IP- en

webadressen of url’s) en stap 4 (doorgeven van de gebruikte hard- en software) zijn nog niet gezet.

Dat zorgt er voor dat de gemeenten of GemCC niet op maat van de gebruikte hard- en software

toegesneden kwetsbaarheidsmeldingen en waarschuwingen krijgen van de IBD. Daardoor lopen de

gemeenten risico voor hen van toepassing zijnde meldingen op softwareproblemen en -risico’s mis te

lopen.

7. Aanbeveling voor de colleges: zet stap 3 en 4 van de aansluiting op de IBD, of zorg dat

GemCC deze aansluiting realiseert.

De laatste aanbeveling voor de colleges gaat over risicobewustzijn, of awareness op informatie-

beveiliging bij de medewerkers van de gemeenten. Deze is nog niet op het gewenste niveau, volgens

de respondenten. De gemeenten maken weinig gebruik van de zogenoemde penetratietesten

(pentesten) om na te gaan hoe inbraakgevoelig de digitale e/of fysieke omgeving van de gemeente is.

Zoals met een ‘mystery guest’ of een ethisch hacker. De gemeenten maken ook geen gebruik van het

materiaal dat de IBD hierop aanbiedt. Dat leidt tot de volgende aanbeveling.

8. Aanbeveling voor de colleges: maak meer werk van aandacht voor het risicobewustzijn op

informatiebeveiliging bij de medewerkers. Test vaker de awareness en voer pentesten uit om

te checken hoe inbraakgevoelig de digitale en fysieke toegang is en of medewerkers zich aan

de veiligheidsregels houden.

De laatste aanbeveling geldt de raden van de drie gemeenten. Ook de gemeenteraden beschikken

over vertrouwelijke en privacygevoelige informatie en maken gebruik van de gemeentelijke

automatisering. Daarnaast is informatiebeveiliging een kritieke succesfactor van de gemeentelijke

dienstverlening en daarmee voor de burger van groot belang. Het is vanuit met het oog op de

kaderstellende en controlerende rol van de raad essentieel op dit terrein aangehaakt te zijn bij het

beleid. Daarnaast is de bescherming van gegevens van burgers en hoe de gemeenten, en derden die

deze voor gemeenten verwerken, van groot belang. De nieuwe Eenduidige Normatiek Single

Information Audit (ENSIA) gaat hierin voor een deel in de informatievoorziening voorzien.

Gemeenteraden kunnen daarnaast zelf bepalen waarop en met welke regelmaat zij geïnformeerd

willen worden. Het is aan te raden daarover met de colleges in gesprek te raken.

9. Aanbeveling voor de raden: formuleer op welke wijze en met welke regelmaat u

geïnformeerd wil worden om er zeker van te zijn dat uw gemeente in control is op

informatiebeveiliging en gegevensbescherming.


6

1 Inleiding

Met deze Quick Scan heeft de Rekenkamercommissie DAL, van de gemeenten Delfzijl, Appingedam

en Loppersum, een onderzoek uitgevoerd naar informatiebeveiliging. Onder andere door de

toegenomen taken in het sociaal domein beheren en verwerken gemeenten meer en meer

persoonlijke en gevoelige data. Gemeenten zijn daarbij kwetsbaar gebleken, zoals onder andere blijkt

uit datalekken bij gemeenten en recente onderzoeken van rekenkamers. Wat gebeurt er

bijvoorbeeld als die informatie op straat komt te liggen? Of als de digitale dienstverlening aan

burgers niet meer mogelijk is? Naast financiële, juridische en technische gevolgen kunnen deze crises

het imago van de gemeente en de privacy van de burgers aantasten. De Rekenkamercommissie DAL

wil met een quick scan inzicht geven in de stand van zaken rond informatiebeveiliging in de

gemeenten Delfzijl, Appingedam en Loppersum. Prae Advies & onderzoek heeft het onderzoek voor

de Rekenkamercommissie DAL uitgevoerd.

2 Aanleiding

Informatieveiligheid is binnen gemeenten verscherpt op het netvlies gekomen na crises van enige

jaren geleden. Zoals die in het nieuws kwamen bij DigiNotar en door Lektober.1 Maar ook recenter

het toenemend aantal meldingen van datalekken en virusaanvallen, zoals met ransomware

'Wannacry', in 2017. En nog recenter het 'Krack'-lek in de WPA2-beveiliging van wifi-netwerken. Deze

hebben aangetoond dat onder andere gemeenten op digitaal gebied kwetsbaar zijn.

In 2013 hebben gemeenten zich verplicht te werken aan verbetering van de digitale veiligheid.

Gemeenten hebben daarom de Baseline Informatiebeveiliging Gemeenten (hierna: BIG) opgesteld.

Zij werden daarbij ondersteund door VNG en het Rijk. De BIG formuleert op strategisch en tactisch

niveau basiseisen waaraan informatiebeveiliging bij gemeenten moet voldoen.

De Rekenkamercommissie DAL heeft – gezien de risico’s en het maatschappelijke en financiële

belang van het onderwerp voor gemeenten – besloten informatieveiligheid in de gemeenten Delfzijl,

Appingedam en Loppersum aan een onderzoek te onderwerpen. Met deze Quick Scan wil de

rekenkamercommissie een beeld geven van de invoering van de BIG in de gemeenten. Het is een

momentopname, omdat het beleidsterrein nog volop in ontwikkeling is. De Rekenkamercommissie

DAL heeft elf vragen over informatiebeveiliging geformuleerd. 2 Deze vragen gaan in op belangrijke

aspecten van de BIG, zie hoofdstuk 4. De vragen gaan niet in op de operationele situatie van de ICT

bij de gemeenten, maar op het tactische en strategische niveau van de BIG.

1 DigiNotar verzorgde elektronische handtekeningen en certificaten voor een groot deel van de overheid, zoals die

van DigID. In juli 2011 ontdekte DigiNotar dat deze een maand eerder gehackt was en kwam daarmee pas eind augustus

mee naar buiten. Uit onderzoek bleek dat DigiNotar fouten in de procedures en systemen had gemaakt. Dit leidde ertoe

dat alle overheidscertificaten onveilig waren. In oktober 2011 bleek dat de websites van vijftig gemeenten en

gemeentelijke diensten open stonden vanwege een verouderde Windows-versie. Daardoor konden kwaadwillenden

informatie ophalen en bestanden aanpassen of wissen. Ook kon men door het lek DigID’s misbruiken en namens een

inwoner handelingen uitvoeren bij een van de vijftig 'lekke' gemeenten. Oktober 2011 werd daardoor Lektober

genoemd. 2 In de onderzoeksopzet was sprake van 12 onderzoeksvragen. De oude vraag 3 over het risico van een aardbeving voor

de informatiebeveiliging is samengevoegd met oude vraag 5 over de continuïteit van de dienstverlening bij een grootschalige uitval of storing. Deze aspecten leken teveel op elkaar om apart te behandelen, en vormen nu onderzoeksvraag 4.


7

Leeswijzer

De aanpak voor deze Quick Scan schetsen we in hoofdstuk 3. In dat hoofdstuk zijn de elf

onderzoeksvragen opgenomen. Deze vragen gaan in op de belangrijkste aspecten van gemeentelijk

informatieveiligheidsbeleid. In hoofdstuk 4 worden de onderzoeksvragen beantwoord. De conclusies

uit de bevindingen en de aanbevelingen naar aanleiding van de conclusies, ter verdere verbetering

van het informatieveiligheidsbeleid in de gemeenten Delfzijl, Appingedam en Loppersum, zijn

weergegeven in hoofdstuk 1 ‘Samenvatting, conclusies en aanbevelingen’, aan § 1 ‘Inleiding’

voorafgaand.

De voor dit onderzoek bestudeerde stukken en geïnterviewde personen zijn opgenomen in bijlage 1.

Informatiebeveiliging is een terrein waarin veel afkortingen en (Engelse) termen worden gebruikt.

Niet iedereen is daarin thuis, vandaar dat in bijlage 2 een verklarende woordenlijst en afkortingenlijst

is opgenomen.

3 Aanpak

De Rekenkamercommissie DAL heeft zich voor dit onderzoek deels gebaseerd op een notitie van de

rekenkamer van de gemeente Den Haag en de Taskforce Bestuur & Informatieveiligheid

Dienstverlening (Taskforce BID).3 De vragen uit de notitie gaan in op de belangrijkste aspecten van de

BIG. Deze vragen zijn aangevuld en aangepast aan de situatie van de DAL-gemeenten.

Dit onderzoek is een Quick Scan en richt zich op de implementatie van de tactische en strategische

maatregelen van de BIG. De vragen in deze Quick Scan gaan vooral in op de beleidsmatige aspecten

van informatieveiligheid in de gemeenten Delfzijl, Appingedam en Loppersum. De vragen gaan niet in

op de operationele aspecten van ICT. Ook rapporteert de rekenkamercommissie niet aan de hand

van zogenoemde penetratietesten, zoals met een 'ethische' hacker of mystery guest die in systemen

en/of gebouwen proberen binnen te dringen. Operationele aspecten kunnen zeker ook risico’s op

informatieveiligheid inhouden, maar deze vallen buiten de reikwijdte van deze Quick Scan.

Op 12 oktober is de startnotitie voor het onderzoek verstuurd naar de gemeenten Delfzijl,

Appingedam en Loppersum. In de startnotitie zijn elf vragen opgenomen over informatieveiligheid en

de uitvoering van de BIG-maatregelen.

De elf onderzoeksvragen zijn:

1. Sturen de gemeenten op de afspraken die benoemd zijn in de VNG Resolutie

‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op

de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en zo ja

hoe?

2. Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatiebeveiligingsplan

benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de

bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke

organisatie, college, raad)?

3 Zie Notitie Opties rekenkameronderzoek Informatieveiligheid, rekenkamer Den Haag & Taskforce Bestuur & Informatieveiligheid Dienstverlening, 2014. (http://www.rekenkamerdenhaag.nl/rekenkamer/to/Workshop-digitale-veiligheid.htm)


8

3. Rapporteren en bespreken de organisaties het functioneren van de cyclus van

informatieveiligheid op management- en bestuursniveau (college en raad)? Zijn zij daarover

transparant richting hun ketenpartners door via waarstaatjegemeente.nl te rapporteren over

informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

4. Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige

uitval of verstoring van ICT en hoe is dat geregeld? Wat zijn de risico's van een (redelijk) zware

aardbeving voor de digitale infrastructuur van de gemeenten? Zijn deze risico's meegewogen in

het beleid en zijn afdoende maatregelen getroffen?

5. Kennen de gemeenten de leveranciers en partners waarmee ze samenwerken en toetsen zij die

ook op informatieveiligheidsaspecten en zo ja hoe?

6. Zijn de gemeenten ‘officieel’ aangesloten bij de Informatiebeveiligingsdienst voor gemeenten

(IBD) en wat is de exacte status van deze aansluiting?

7. Weten de organisaties hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een

incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

8. Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatieveiligheid

via peer reviews, audits of self assessments (zelf tests)? En wordt over het functioneren van de

cyclus van informatieveiligheid gerapporteerd aan de raad?

9. Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden

tot heroverwegingen van de gemeentelijke risico-inschattingen? Indien dit laatste het geval is,

wat zijn deze ontwikkelingen?

10. Is er een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid? Hoe

houden de gemeenten kennis vast en bouwen zij hierop door?

11. Hoe ver zijn de gemeenten gevorderd met de voorbereidingen op implementatie van de

Algemene verordening gegevensbescherming (AVG) van de EU?

De onderzoeker is gestart met deskresearch, bestudering van stukken over het informatie-

beveiligingsbeleid van de gemeenten. Welke stukken bestudeerd zijn is in bijlage 1 weergegeven. De

informatie hieruit vormde de input voor de interviews met ambtenaren over de implementatie van

de BIG. De respondenten die geïnterviewd zijn, zijn eveneens in bijlage 1 opgenomen.

Op 23 januari 2018 is in het kader van de ambtelijke hoor en wederhoor de conceptversie van de

nota van bevindingen besproken met de ambtenaren, waarvan een groot deel in een eerder stadium

geïnterviewd is. Dat heeft op een aantal punten geleid tot aanpassing van de nota. Daarna zijn de

samenvatting, conclusies en aanbevelingen toegevoegd en voor bestuurlijke hoor en wederhoor

aangeboden.

Zelfanalyse

Tussen de afronding van de interviews en de ambtelijke hoor en wederhoor, hebben de drie

gemeenten, onder begeleiding van een extern deskundige een analyse op informatiebeveiliging

uitgevoerd. Dat is gebeurd in het kader van de zogenaamde ENSIA-vragenlijst (zie § 4.3). De

rekenkamercommissie beschikte niet over de resultaten, maar uit de ambtelijke hoor en wederhoor

en een telefonisch gesprek kan geconstateerd worden dat daaruit minimaal eenzelfde beeld naar

voren kwam als uit deze quick scan.


9

4 Vraag en antwoord

Hieronder wordt in elf paragrafen ingegaan op de gestelde vragen en antwoorden. Waar nodig

worden conclusies getrokken. Onder elke vraag is in cursieve letters de norm weergegeven, die in de

BIG op dat punt is afgesproken.

4.1 Sturen de gemeenten op de afspraken die benoemd zijn in de Resolutie

‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het

bijzonder op de implementatie van de BIG en zo ja hoe?

Norm: In de BIG is afgesproken, dat het integrale beleid op het terrein van

informatiebeveiliging door de colleges van B&W moet worden vastgesteld en gepubliceerd

voor werknemers en relevante externe partijen. Het beleid is risico gebaseerd en een

verantwoordelijkheid van het lijnmanagement. Deze stelt op basis van een analyse en

assessments de risico's vast.4

Vanaf 2015 zijn de DAL-gemeenten bezig de maatregelen uit BIG te implementeren. Daarmee sturen

de gemeenten in het algemeen op de afspraken uit de BIG. De geïnterviewde afdelingshoofden

geven aan dat er draagvlak is voor informatiebeveiligingsbeleid bij de colleges. Maar ook komt uit de

interviews naar voren dat informatieveiligheid vooral in verband met privacy aan bod komt in de

colleges.

Er is voor Delfzijl een nieuwe versie van het informatiebeveiligingsbeleid opgesteld in juli 2017, maar

nog niet vastgesteld. Het college in Delfzijl wacht nog met vaststellen tot duidelijk is welke

consequenties het voorgestelde beleid voor de formatie heeft. In Loppersum is het informatie-

beveiligingsbeleid in 2013 opgesteld en op 1-1-2014 vastgesteld. Mede op basis van dat beleid is het

Plan van aanpak voor 2017 opgesteld. Op moment dat de interviews werden afgenomen is een

nieuw informatiebeveiligingsbeleid van Appingedam en Loppersum wel opgesteld, maar nog niet

vastgesteld door de colleges.

Op de hardware-kant werken de DAL-gemeenten sinds 2004 samen in het GemCC. Dat is een ‘lichte’

gemeenschappelijke regeling die de systemen beheert voor de drie gemeenten. Het GemCC is

ondergebracht bij de gemeente Appingedam. Met name het ‘technisch’ beheer wordt door GemCC

uitgevoerd, waaronder de technische infrastructuur, beveiliging en eerstelijns helpdesk. Circa 90%

van de systemen die de drie gemeenten gebruiken is identiek en de algemene niet-afdelings-

gebonden systemen worden door GemCC beheerd, zoals Office-programma’s.

Ten tijde van de interviews was in alle drie de gemeenten een informatiebeveiligingscoördinator (i-

coördinator) aangesteld. En een eigen CISO per gemeente, die bij de afdeling bedrijfsvoering is

ondergebracht. De CISO is volgens de geïnterviewden goed gepositioneerd, met een directe lijn naar

de gemeentesecretaris. De rol van CISO is op organisatieniveau verantwoordelijk voor de

verbijzonderde interne controle op de naleving van het informatiebeveiligingsbeleid, de realisatie

van voorgenomen veiligheidsmaatregelen en de escalatie van beveiligingsincidenten.

In de interviews is aangegeven dat in DAL-verband niet alleen de technische automatiseringskant (‘a’-

kant), maar ook meer en meer ook de zogenoemde ‘i’-kant wordt opgepakt, gericht op de

4 Zie Tactische BIG, items 5 en 6, resp. Informatiebeveiligingsbeleid en Interne organisatie.


10

coördinatie van de informatie en de informatiebeveiliging. De gemeenten willen een

informatiemanager en ook de CISO-functie, zie vorige alinea, via het GemCC aanstellen.

Sturing van een gemeenschappelijke regeling wordt over het algemeen als lastig ervaren, omdat deze

op afstand staat van de ‘eigen’ organisatie. De geïnterviewden onderschrijven de aanbeveling van de

VNG-visitatiecommissie, die op bezoek is geweest in Appingedam en Loppersum, om de CISO ‘van’

het GemCC een aantal keren per jaar bij de gemeentesecretarissen te laten aanschuiven. Daarmee

wordt de afstand kleiner. Bovendien is de verwachting dat het vraagstuk zich vanzelf op termijn

oplost, als de beoogde fusie tussen de gemeenten wordt gerealiseerd.

4.2 Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatie-

beveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel

geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk

niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

Norm: Zie voor wat in de BIG is afgesproken de norm in de vorige paragraaf, §4.1.

In de drie gemeenten is het informatiebeveiligingsbeleid gereviewd door middel van een

zogenoemde GAP- en risicoanalyse. Dat houdt in dat de informatie waarover de gemeente beschikt

onder andere is gecontroleerd op beschikbaarheid en betrouwbaarheid van de gegevens. Daarbij

wordt gekeken of en in hoeverre de maatregelen uit de BIG zijn gerealiseerd (de GAP, of kloof, tussen

wat er is en wat er zou moeten zijn). Op basis van een risicoanalyse moet daarna worden bepaald

welke maatregelen met voorrang worden ogenomen in jaarplannen informatiebeveiliging. De

jaarplannen en plannen van aanpak bij de drie gemeenten zijn op basis van deze analyses

vastgesteld, in onderling overleg over de te nemen maatregelen. Daarin worden de gemeenten

gezamenlijk ondersteund door BMC.

Voor 2017 was voor Delfzijl een algemeen informatiebeveiligingsplan en waren negen deelplannen

opgesteld voor de uitvoering van de maatregelen. In de interviews wordt aangegeven dat de plannen

er voor alle drie de gemeenten wel zijn, maar een duidelijke planning welk onderdeel van de

maatregelen wanneer dient te worden opgepakt wordt gemist. In samenhang daarmee wordt een

verankering van het informatiebeveiligingsbeleid in de afdelingsplannen gemist. Zo blijkt

bijvoorbeeld uit de plannen voor 2017 dat een procedure voor het melden van datalekken nog niet is

opgezet. De meldprocedure wordt als prioriteit aangemerkt en aangegeven wordt dat dat in 2018

wordt opgepakt.

Door respondenten wordt aangegeven dat informatiebeveiliging onder controle is en in algemene zin

worden de informatiebeveiligingsplannen door respondenten als ambitieus getypeerd. De

respondenten zien hierin een ontwikkelopgave waarvoor in hun ogen extra formatie nodig is om

adequaat gerealiseerd te worden. Het is lastig goed en gekwalificeerd personeel voor bijvoorbeeld de

functies van informatieadviseur en informatiemanager te vinden. Op dit moment wordt veel extern

ingehuurd op informatiebeveiliging en privacy, in het bijzonder de implementatie van de Eenduidige

normatiek single information audit (ENSIA) en de Algemene verordening gegevensbescherming

(AVG).

Volgens de BIG moet het lijnmanagement betrokken zijn bij de GAP- en risicoanalyse. Uiteindelijk is

de lijn namelijk verantwoordelijk en moet zich bewust zijn van de risico’s die op informatiebeveiliging

spelen. Daarbij wordt de lijn ondersteund door de CISO, die informatiebeveiliging coördineert. In


11

Loppersum en Appingedam zijn door de CISO workshops gehouden waarbij meerdere afdelingen en

afdelingshoofden waren betrokken. In Delfzijl zijn de controller, de afdeling publiekszaken en

afdelingshoofden betrokken geweest bij de GAP-analyse. En is een presentatie door de CISO voor het

MT gehouden over de GAP-analyse.

4.3 Rapporteren en bespreken de organisaties het functioneren van de cyclus van

informatieveiligheid op management- en bestuursniveau (college en raad)? Zijn zij

daarover transparant richting hun ketenpartners door via waarstaatjegemeente.nl te

rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Norm: In de BIG hebben gemeenten afgesproken dat over het functioneren van de

informatiebeveiliging aan het management en bestuur wordt gerapporteerd, in het kader van

de P&C-cyclus.5 In de BIG zelf staat niets over rapporteren aan waarstaatjegemeente.nl over

het thema informatieveiligheid. In de Resolutie van de VNG staat dat gestreefd wordt naar

transparantie en dat deze onder meer bereikt wordt door gebruik te maken van

waarstaatjegemeente.nl.

Beveiliging is als onderwerp bij het managementoverleg belegd. In de gemeenten zijn op

informatiebeveiliging overleggen georganiseerd. In de beleidsstukken worden de teams wel

benoemd 6, maar het opzetten en functioneren van deze overleggen was nog een punt van aandacht

in het plan van aanpak eind 2016.

De drie gemeenten werken met een informatiemanagement systeem op

informatiebeveiliging (ISMS). Daarmee worden de activiteiten op

informatiebeveiliging bijgehouden en gekoppeld aan de P&C-cyclus. Zo

wordt op managementniveau de voortgang op de implementatie van de

BIG-maatregelen bijgehouden. Het ISMS is niet gekoppeld aan de PDCA-

cyclus, dus heeft geen verband met een leercyclus op informatie-

beveiliging.

In de bedrijfsvoeringsparagraaf van de jaarrapportages wordt de raad 1x per jaar geïnformeerd over

informatiebeveiliging, zoals de BIG voorschrijft. Colleges en de ambtelijke organisaties zijn echter niet

op een reguliere basis in gesprek met de gemeenteraden over informatiebeveiliging. De raad heeft

bijvoorbeeld zelf ook de beschikking over vertrouwelijke informatie en maakt gebruik van de ICT-

voorzieningen van de gemeente. Naast de kaderstellende en controlerende rol van de raden kunnen

dit in principe redenen zijn om de raden vaker dan 1x per jaar te informeren op informatie-

beveiliging. De gemeenteraad heeft naast het college een specifieke bevoegdheid de werking van het

beleid te controleren, zoals beschreven staat in het Informatiebeveiligingsbeleid van de gemeenten.

Op die bevoegdheid hebben de raden overigens nog geen enkele keer een beroep gedaan.

Respondenten zien ook de mogelijkheid om in de P&C-cyclus meer over informatiebeveiliging op te

nemen, ook richting de raad. De implementatie vanaf 2018 van ENSIA is mede bedoeld om de

horizontale verantwoording op informatiebeveiliging naar de raad toe vorm te geven. De ENSIA-

5 Zie Tactische BIG, item 6.1.8, Beoordeling van het informatiebeveiligingsbeleid. 6 Deze heten kernteam (met de CISO, teammanager ICT, beveiligingsbeheerder ICT, lid MT, experts en lid team

communicatie) of een informatiebeveiligingsoverleg (met de CISO, beveiligingscontroller en -beheerders, privacy beheerder, MT-leden en/of specialisten), of Overleggroep Informatiebeveiliging KCC (met de beveiligingsbeheerder en de CISO.)


12

coördinatoren zijn aangewezen in de drie gemeenten. Onderzocht wordt of deze taak ook in DAL-

verband ingevuld kan worden.

4.4 Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van

grootschalige uitval of verstoring van ICT en hoe is dat geregeld? Wat zijn de risico's

van een (redelijk) zware aardbeving voor de digitale infrastructuur van de gemeenten?

Zijn deze risico's meegewogen in het beleid en zijn afdoende maatregelen getroffen?

Norm: In de BIG is afgesproken dat op basis van een risicobeoordeling een continuïteitsplan

met betrekking tot informatiebeveiliging wordt opgesteld. Daarmee worden essentiële

procedures voor continuïteit geïdentificeerd, zoals het veilig stellen, herstel en reconstructie

van informatie enz.7

De DAL-gemeenten hebben een specifiek vraagstuk met betrekking tot informatieveiligheid, namelijk

de aardbevingsproblematiek. Bij navraag blijken er bij de gemeenten geen continuïteitsplannen

aanwezig te zijn die risico’s voor informatiebeveiliging op uitval of verstoring van de systemen

behandelen. In de risicoanalyses is een zware aardbeving niet als risico meegenomen. Op fysiek

gebied houdt de Veiligheidsregio de gemeenten scherp, met onder andere een halfjaarlijkse

oefening. Die gaan over het algemeen goed, maar dat is volgens respondenten nog geen garantie als

zich een grootschalige ramp voordoet.

Het GemCC heeft een continuïteitsplan. Maar deze is van 2010 en dateert uit de tijd van vóór de

aandacht voor de aandacht voor aardbevingsrisico’s in Noordoost Groningen. Het feit dat deze niet

up-to-date is heeft volgens respondenten mede te maken met een gebrek aan menskracht.

Bij burgerzaken is een uitwijk geregeld als zich een storing voordoet, omdat deze dienstverlening

essentieel is. Voor andere applicaties geldt de zogenoemde middenring, waarbij gemeenten

onderling een deel van de functionaliteit van elkaar kunnen overnemen. Er is bij de gemeenten noch

bij het GemCC een Computer emergency response team (CERT) opgezet, dat eventueel in staat zou

zijn snel te handelen in het geval van een beveiligingsincident met computers of netwerken.

4.5 Kennen de gemeenten de leveranciers en partners waarmee ze samenwerken en

toetsen zij die ook op informatieveiligheidsaspecten en zo ja hoe?

Norm: In de BIG hebben gemeenten afgesproken dat risico's op informatieveiligheid die

betrekking hebben op externe partijen, die bijvoorbeeld persoonsgegevens verwerken, expliciet

worden meegenomen. Daarover moet jaarlijks worden gerapporteerd. Het aspect

informatiebeveiliging moet behandeld worden in overeenkomsten met derde partijen.8

Volgens de respondenten zijn op checks op de overeenkomsten met derden die voor of namens de

gemeente gegevens verwerken, de zogenoemde verwerkersovereenkomsten, redelijk goed geborgd.

De VNG constateerde na de visitatie dat de gemeenten oog hebben voor de risico’s op

informatieveiligheid en integriteit bij de vele externen die voor of bij de gemeenten werken. Bij de

GAP-analyse bleek evenwel dat de verwerkersovereenkomsten een punt van aandacht zijn. De

verwerkersovereenkomsten van Delfzijl zijn in het informatiebeveiligingsbeleid beschreven. Zo heeft

7 Zie Tactische BIG, item 14, Bedrijfscontinuïteitsbeheer. 8 Zie Tactische BIG, item 6.2, Externe Partijen.


13

Delfzijl met Pink Roccade voor burgerzaken een verwerkersovereenkomst gesloten, en zijn er

overeenkomsten met SIM voor webbeheer en Werkplein Fivelingo in het kader van Suwinet. De

contracten worden door juristen getoetst en de derde partijen moeten integriteitsverklaringen

tekenen. In Appingedam en Loppersum zijn geen verwerkersovereenkomsten. Appingedam

verwachtte ten tijde van de interviews nog in 2017 verwerkersovereenkomsten te sluiten met SIM en

Werkplein Fivelingo.

Daarnaast worden in extern gehoste applicaties gegevens van de drie gemeenten, bij partijen waar

ook verwerkersovereenkomsten mee worden gesloten. In het sociaal domein wordt veel

privacygevoelige informatie van inwoners van de gemeenten verwerkt. Dat brengt risico met zich

mee, zeker als gemeenten samenwerken met veel kleine partijen, zoals bijvoorbeeld gebruikelijk is in

de jeugdzorg. De verwerkersovereenkomsten die met die partijen worden gesloten worden

bijgehouden door de vakafdelingen en vallen buiten het zicht van de respondenten die met

informatiebeveiliging te maken hebben.

Het werken met externen die voor of namens de gemeenten gegevens verwerken brengt vaak

mailverkeer met vertrouwelijke en privacygevoelige gegevens met zich mee. Veel mailverkeer gaat

veilig, via ‘filecap’, een plug-in in outlook. Maar de respondenten weten niet zeker of dat altijd goed

gaat, daar het een extra handeling vergt de mail en de bijlagen te beveiligen.

4.6 Zijn de gemeenten ‘officieel’ aangesloten bij de Informatiebeveiligingsdienst voor

gemeenten (IBD) en wat is de exacte status van deze aansluiting?

Norm: Aansluiting op de IBD is niet geregeld in de BIG zelf. De algemene en vertrouwde

contactpersonen informatiebeveiliging (Algemene Contactpersoon Informatiebeveiliging [ACIB]

en Vertrouwde Contactpersoon Informatiebeveiliging [VCIB]) van de gemeente kunnen

aangesloten zijn bij de IBD. Dat is belangrijk, omdat de IBD meldingen van beveiligings-

incidenten verzamelt en doorgeeft aan deze contactpersonen. En de IBD waarschuwt voor

bedreigingen, zoals lekken in software.

De Informatieveiligheidsdienst voor gemeenten (IBD) is een instantie die gemeenten ondersteunt bij

vraagstukken op het gebied van informatiebeveiliging en de implementatie van de BIG-maatregelen.

Een van de diensten die de IBD aanbiedt zijn meldingen over veiligheidsrisico’s bij incidenten op

informatiebeveiliging. Deze meldingen kunnen algemeen van aard zijn, bijvoorbeeld meldingen over

virussen of phishing mails, of vertrouwelijk van aard, bijvoorbeeld in geval van meldingen die bij

openbaarmaking de informatiebeveiliging kunnen schaden. Bij de laatste stap van de aansluiting

krijgen gemeenten op maat toegesneden advies en impactanalyses van de risico’s die zij lopen, met

het oog op de systemen en software die zij gebruiken. Momenteel is ca. 70% van de gemeenten

volledig aangesloten op de IBD.

De stappen zijn als volgt: bij stap 1 en 2 wijzen gemeenten een algemeen en vertrouwelijk

contactpersoon voor de IBD aan. De algemene contactpersoon krijgt openbare meldingen van

bijvoorbeeld bedreigingen van virussen en phishing mails. De vertrouwelijk contactpersoon krijgt

meldingen van vertrouwelijke aard over bedreigingen. Stap 3 houdt in dat de gemeente aan de IBD

een overzicht geeft van de in gebruik zijnde internet- en webadressen (IP-adressen en url’s). Bij stap

4 geeft de gemeente een overzicht van de in gebruik zijn de hard- en software.


14

De DAL-gemeenten zijn bij de IBD aangesloten tot en met stap 2. Dat wil zeggen dat zij de

contactpersonen informatiebeveiliging hebben aangewezen die algemene en vertrouwelijke

meldingen van de IBD krijgen. De functie van algemene contactpersoon wordt voor de drie

gemeenten is bij het GemCC ondergebracht. Daar kunnen ook meteen de technische maatregelen

genomen worden om bijvoorbeeld mails te blokkeren of updates van software te installeren.

De vertrouwelijke contactpersonen VCIB in de drie gemeenten zijn de i-coördinatoren en de CISO’s.

Indien de melding van de IBD voor de VCIB een actie vereist wordt de melding doorgegeven in de

organisatie, de webmaster of het GemCC.

De aansluiting op de IBD is niet volledig en de structuur is voor een aantal respondenten onduidelijk.

Op papier is hierover niets geregeld. Volgens hen moeten de laatste twee stappen gezet worden

door GemCC. Waarom de stap nog niet gemaakt is, is onduidelijk. Vermoed wordt dat het veel tijd

kost om te organiseren en vooral om bij te houden. Afdelingshoofden geven aan dat ook hier een

gebrek aan menskracht speelt die deze stappen verhindert.

4.7 Weten de organisaties hoe te handelen bij een (ernstig) informatieveiligheidsincident

en is er een incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

Norm: In de BIG is opgenomen dat er een procedure wordt vastgesteld voor de wijze waarop

informatiebeveiligingsgebeurtenissen en zwakke plekken in de beveiliging worden beheerd en

gerapporteerd. Ook geeft de BIG aan dat er geleerd moet worden van de incidenten.9

Een informatieveiligheidsincident is een voorval dat de betrouwbaarheid, beschikbaarheid of

vertrouwelijkheid van de informatievoorziening verstoort waarmee de informatiebeveiliging kan

worden aangetast. Een datalek is een specifiek incident en doet zich voor als persoonsgegevens in

handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Hoe om te gaan

met veiligheidsincidenten is beschreven in het informatiebeveiligingsbeleid van de gemeenten.

Incidenten moeten door de CISO geregistreerd worden in het incidentenregister. De CISO draagt dan

zorg voor een juiste afhandeling van het incident en voor de evaluatie. Daarover moet de CISO

minimaal 1x per jaar rapporteren aan het hoofd bedrijfsvoering.

GemCC houdt het incidentenregister bij. Voor Delfzijl kon evenwel geen GemCC geen overzicht van

recente incidenten gegenereerd worden. Appingedam, waaronder GemCC valt, beschikt wel over

een goed overzicht van de incidenten.

Medewerkers van de gemeente, maar ook derden die voor of namens de gemeenten gegevens

verwerken, moeten incidenten die zich voordoen meteen melden. In het algemeen vermoeden

respondenten dat de bereidheid om incidenten te melden gering is, bij medewerkers en derden. In

2017 was er één vermoeden van een datalek bij de drie gemeenten dat gemeld is bij de Autoriteit

Persoonsgegevens. Uiteindelijk bleek het alleen een beveiligingsincident te zijn geweest.

9 Zie Tactische BIG, item 13, Beheer van informatiebeveiligingsincidenten.


15

4.8 Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatie-

veiligheid via peer reviews, audits of self assessments (zelf tests)? En wordt over het

functioneren van de cyclus van informatieveiligheid gerapporteerd aan de raad?

Norm: Ten aanzien van de beoordeling van het beveiligingsbeleid is in de BIG geregeld dat er

periodieke beveiligingsaudits worden uitgevoerd. Over het functioneren van

informatiebeveiliging wordt volgens de P&C-cyclus gerapporteerd aan het lijnmanagement. 10

Voor rapportage aan gemeenteraden geeft de BIG geen richtlijnen.

Er is een wettelijke verplichting om de audits en self assessments op de applicaties, zoals BRP, BAG,

DigID, SUWInet periodiek uit te voeren. De jaarlijkse audits en tests worden door de vakafdelingen

gedaan en zijn in 2017 naar tevredenheid afgerond. De informatie daarover wordt in het ISMS

opgenomen. Momenteel wordt daarover niet gerapporteerd aan de raad, maar dat gaat met de

komst van ENSIA vanaf 2018 veranderen.

Respondenten geven aan dat de gemeenten up to date zijn met het onderhoud van de systemen.

Jaarlijks wordt de uitwijk getest en moet volgens het informatiebeveiligingsbeleid een penetratietest

gedaan worden op het gebied van de firewalls en internetvoorziening. Het GemCC, en het

afdelingshoofd van Appingedam, zijn van plan een zogenoemd ‘ethisch’ hacker in te huren om testen

hoe makkelijk en hoe ver een kwaadwillende in de systemen kan doordringen. Vooralsnog is dat nog

niet gebeurd.

Personeelsmutaties moeten leiden tot een check of de autorisaties op de applicaties nog steeds

geldig zijn. Volgens het informatiebeveiligingsbeleid op autorisaties gecheckt worden bij in-, door- en

uitstroom van medewerkers. Bij indiensttreding wordt door de afdeling P&O een inlogaccount

aangevraagd. Deze geeft toegang tot het systeem, intranet en mail en tot items zoals een druppel om

toegang tot het gebouw te krijgen. Voor sommige applicaties moet dan nog een autorisatie

aangevraagd worden door het afdelingshoofd of applicatiebeheerder. Bij uitdiensttreding wordt het

account van de medewerker opgezegd. Volgens het Procedure Handboek DigID van de gemeente

Appingedam krijgt de coördinator Informatisering elk kwartaal van GemCC een overzicht van de

autorisaties op DigID en zorgt deze voor een controle daarop. De respondenten kunnen niet met

zekerheid zeggen of en hoe periodiek bij functiewisselingen die checks op de autorisaties op DigID en

andere applicaties daadwerkelijk worden uitgevoerd.

Er is wel sprake van een functiescheiding in beheer van de accounts en toegang tot gegevensinvoer,

om oneigenlijk gebruik en fraude te voorkomen. Daarop heeft de accountant een check.

Buiten het gemeentehuis op locatie werken brengt risico’s op informatiebeveiliging met zich mee.

Medewerkers kunnen met behulp van een token en een tweestapsverificatie (2FA) veilig op een

andere locatie werken. Via het GemCC wordt een beveiligde en versleutelde verbinding opgezet voor

het gegevensverkeer over internet. Ook wordt er wordt voor gezorgd dat er geen gegevens

achterblijven op de computer waarop is ingelogd.

10 Zie Tactische BIG, item 6.1.8, Beoordeling van informatiebeveiligingsbeleid; 15.2, Naleving van beveiligingsbeleid en –normen en technische naleving.


16

Het gebruik van USB sticks is over het algemeen ook risicovol. Deze kunnen bij de gemeenten echter

niet gebruikt worden in de vaste computers. Via het GemCC kan gebruik van de USB-stick

aangevraagd worden. Daar er is geen apart protocol voor, maar is meer een manier van werken.

De gemeenteraad wordt op informatiebeveiliging geïnformeerd via de paragraaf bedrijfsvoering in

de jaarrekening. Beveiligingsincidenten worden niet gemeld. De keus om dat al dan niet te doen, ligt

volgens de respondenten bij de colleges van B&W. Als zich een groot incident zou voordoen, zou het

college ervoor kunnen kiezen dat via een memo aan de raad te melden. In ENSIA is dat wel

opgenomen. Respondenten vinden het een goede zaak de raad meer op informatiebeveiliging te

betrekken. In Appingedam, met een nieuwe secretaris en een burgemeester, die informatie-

beveiliging een warm hart toedraagt, verwacht men dat de raad meer betrokken wordt op dit

onderwerp.

4.9 Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen

die leiden tot heroverwegingen van de gemeentelijke risico-inschattingen? Indien dit

laatste het geval is, wat zijn deze ontwikkelingen?

Norm: In de BIG hebben gemeenten afgesproken dat het informatiebeveiligingsbeleid eens in

de drie jaar, of zodra zich belangrijke wijzigingen voordoen, wordt geëvalueerd.11

Aangezien recent het informatiebeveiligingsbeleid in de drie gemeenten is bijgewerkt, op basis van

een GAP- en risicoanalyse, zijn de beleidsuitgangspunten nog steeds valide. Het informatiebeveili-

gingsbeleid was op moment van afnemen van de interviews nog niet vastgesteld. Ervan uitgaande

dat dat ondertussen is gebeurd of alsnog snel gebeurt en constaterende dat er zich geen belangrijke

wijzigingen hebben voorgedaan kan geconstateerd worden dat het beleid nog steeds valide is. Los

van het risico dat een (zware) aardbeving met zich meebrengt.

Het ligt in de lijn van verwachting dat in 2019 de baseline informatiebeveiliging gemeenten (BIG),

samen met de baseline informatiebeveiliging rijksdienst (BIR) opgaat in de baseline informatie-

beveiliging overheid (BIO). Dan zal opnieuw bekeken moeten worden of en hoe de uitgangspunten

zijn gewijzigd en of het informatiebeveiligingsbeleid aangepast moet worden.

4.10 Is er een integrale aanpak voor organisatieleren op het gebied van informatie-

veiligheid? Hoe houden de gemeenten kennis vast en bouwen zij hierop door?

Norm: In de BIG is afgesproken om te leren van beveiligingsmeldingen met als doel

beheersmaatregelen te verbeteren.12 Als randvoorwaarde is in de BIG onder andere

geformuleerd dat informatieveiligheid een verantwoordelijkheid is van het lijnmanagement en

dat kennis en expertise essentieel zijn.13

Zoals eerder is geconstateerd is het informatiemanagementsysteem op informatiebeveiliging (ISMS)

niet gelinkt aan de leer- of PDCA-cyclus. Het informatiebeveiligingsbeleid wordt wel uitgedragen en

staat op intranet, dus medewerkers kunnen er kennis van nemen. Respondenten vinden evenwel dat

het bewustzijn in de lijn, bij leidinggevenden en medewerkers, verhoogd moet worden. De VNG

constateerde bij de visitatie dat gemeenten goed bezig zijn, maar dat de inspanningen hierop meer

11 Zie Tactische BIG, item 5.1.2, Beoordeling van het informatiebeveiligingsbeleid. 12 Zie Tactische BIG, item 13.2.2, Leren van informatiebeveiligingsincidenten. 13 Zie Tactische BIG, 1.3, Randvoorwaarden.


17

gestructureerd zouden moeten plaatsvinden. Er wordt door afdelingshoofden en CISO’s erkend dat

er meer gedaan kan en moet worden om de boodschap van informatiebeveiliging goed over te

brengen. Respondenten constateren een onderschatting van de informatiebeveiligingsfunctie en de

benodigde formatie daarop. Behalve bij de afdelingen die van oudsher veel met privacygevoelige

data werken en aandacht hebben voor informatiebeveiliging, zoals de afdeling burgerzaken.

De gemeente Loppersum gaf in het Plan van aanpak in 2017 aan bewustwordingscampagnes te gaan

organiseren, maar deze moesten ten tijde van de interviews nog worden opgestart. De CISO is in

Loppersum wel bij MT en afdelingsoverleggen langs geweest met een presentatie over algemene

zaken op informatiebeveiliging zoals beleid, risico's en hoe om te gaan met gegevens. Er is intern wel

bekendheid aan het thema gegeven, maar respondenten vinden dat het zeker vaker herhaald moet

worden om te beklijven. In Appingedam is in afdelingsbijeenkomsten en MT aandacht besteed aan

de open cultuur in het gemeentehuis en veel rondslingerende papieren. In Delfzijl is het personeel in

algemene zin nog niet echt bewust van de risico’s. Mensen spreken elkaar er bijvoorbeeld niet op

aan als computerschermen open staan. Er wordt nog wat weerstand geconstateerd door de

respondenten, zoals er ook in het begin weerstand was tegen de clear desk policy. Het onderwerp

informatiebeveiliging is nog geen vast onderwerp bij afdelingsoverleggen, functioneringsgesprekken

of opleidingsplannen. Respondenten van de drie gemeenten constateren dat bewustzijn langzaam en

in kleine stappen komt. Zij constateren wel meer bewustzijn op dit onderwerp dan 5 tot 10 jaar

geleden.

De gemeenten maken geen gebruik van de awareness-materialen van IBD. Het was bij de

respondenten niet bekend dat IBD over zulk materiaal beschikt.

De hoeveelheid data die door gemeenten wordt verwerkt is de laatste jaren fors toegenomen. Door

automatisering en specifiek door de decentralisaties van het sociaal domein. Daarin gaan veel

privacygevoelige gegevens van kwetsbare groepen inwoners om. Daarover is voor medewerkers een

werkgroep gehouden, ondersteund door KING. Naar aanleiding daarvan zijn beleidsregels opgesteld

in DAL-verband.

Wat betreft de fysieke veiligheid, samenhangend met informatiebeveiliging, hebben de

medewerkers van de drie gemeenten een druppel om toegang te krijgen tot het gemeentehuis en de

kantoorgedeelten. Er zijn afspraken over een clear screen en een clear desk. Jaarlijks is er een

controle op risico’s en tweejaarlijks een fysieke inspectie van de gebouwen. Er zijn, wat betreft

fysieke toegang, verschillen tussen de gemeenten. Het gemeentehuis van Appingedam is

toegankelijker voor publiek dan bij de andere gemeenten het geval is. Dat is een bewuste keuze, die

ook risico’s met zich mee brengt. Het personeel is daarop ingelicht en voorbereid. In Loppersum is

een balie bij de vooringang en bezoekers worden vanaf daar door de medewerkers begeleid naar

plek van afspraak. Via de achterkant is het risico aanwezig dat bezoekers zonder begeleiding kunnen

doorlopen. De awareness van medewerkers daarop kan volgens de respondenten beter. Men

overweegt een mystery guest in te zetten om te bezien hoe ver deze kan komen. In Delfzijl worden

de bezoekers ook opgehaald bij de balie. Mensen kunnen proberen mee te lopen, maar de

respondenten schatten in dat medewerkers hen daarop aanspreken.

In ENSIA gaat ook over deze fysieke aspecten van informatiebeveiliging gerapporteerd worden aan

de raad.


18

4.11 Hoe ver zijn de gemeenten gevorderd met de voorbereidingen op implementatie van

de Algemene verordening gegevensbescherming (AVG) van de EU?

Norm: Uiterlijk 25 mei 2018 moeten overheden en bedrijven voldoen aan de AVG van de EU.

Daartoe behoort onder andere het aanstellen van een Functionaris voor de

gegevensbescherming (FG).

Een van de eisen van de Algemene Verordening Gegevensbescherming (AVG) is dat elk bedrijf of

overheid die privacygevoelige gegevens verwerkt voor 25 mei 2018 een functionaris gegevens-

bescherming (FG) moet hebben aangesteld. Daarvoor lijken in de geraadpleegde stukken in de DAL-

gemeenten nog geen concrete plannen aanwezig te zijn. De functionaris is in Appingedam al wel

benoemd. In Delfzijl nog niet omdat het college de formatie voor informatiebeveiliging en

gegevensbescherming nog niet heeft vastgelegd. Onderzocht wordt of het mogelijk is deze functie in

DAL-verband in te vullen.

Maar volgens andere respondenten wordt ter voorbereiding op de implementatie van de AVG door

de gemeenten vooralsnog extern ingehuurd.

Er zijn geen privacyprotocollen aangetroffen waarmee voor medewerkers, inwoners en

bedrijven/instellingen duidelijk wordt hoe de gemeenten omgaan met privacygevoelige gegevens. In

het nieuw op te zetten beleid moeten de beveiligingsbeheerders, de FG(‘s) en privacyfunctionarissen

nog nader ingevuld worden. De MT’s hebben bij de afdelingshoofden al navraag gedaan hoeveel fte

met deze functies gemoeid is.

De gemeenten worden in deze fase, bij de initiële voorbereidingen van de AVG, ondersteund door

BMC. De afdelingshoofden zouden op dit dossier meer effort willen zien. Weliswaar is er het gevoel

dat er technisch gezien niet veel mis kan gaan, het gevoel volledig in control te zijn wordt gemist. Op

de implementatie van de AVG kan, volgens hen, vele malen beter gehandeld worden.

Een vraag die de gemeenten nog moeten beantwoorden is of de maatregelen in het kader van de

AVG afzonderlijk of gezamenlijk worden opgepakt. Het antwoord op deze vraag zal voor de hand

liggen, gelet op de herindeling van de gemeenten, namelijk gezamenlijk. Dat zou betekenen dat nu al

daar een gezamenlijke effort op zal moeten plaatsvinden. Een FG mag bijvoorbeeld gezamenlijk

worden aangesteld. Het eigenaarschap moet volgens de respondenten bij de gemeenten zelf liggen.

En de gemeenten moeten de AVG zelf structureel oppakken, in ieder geval vanaf 25 mei 2018. De

respondenten vinden dat dit dossier strakker dan nu het geval is moet worden opgepakt, ook door

de raad.


19

Bijlage 1. Lijst geïnterviewden en geraadpleegde literatuur

Interviews

- Wim Koning, informatiemanager, CISO en coördinator ENSIA, Delfzijl

- Rik Buitenwerf, concerncontroller, Appingedam

- Petra Hardes, coördinator ENSIA, Loppersum

- Dagmar van den Berg, afdelingshoofd bedrijfsvoering, Delfzijl

- Marjan Meijer, afdelingshoofd bedrijfsvoering, Appingedam

- Erwin Gaastra, afdelingshoofd bedrijfsvoering, Loppersum

Geraadpleegde literatuur

- Beheer Website en Content Managementsysteem. Gemeente Appingedam, 18-4-2016

- Collegeverklaring ENSIA 2017 inzake Informatiebeveiliging DigID en SUWInet. Gemeente

Delfzijl

- Controleprogramma Informatiebeveiliging. Gemeente Delfzijl

- DigID beveiligingsassessment. Gemeente Appingedam, 4-5-2016

- GAP-analyse. Gemeente Loppersum, 23-5-2016

- Gebruikers en rechtenlijst SIM, 2-12-2015

- IBD aansluitformulier, VCIB, 26-11-2015

- ICT-beveiligingsassessments DigID. Gemeente Loppersum, 4-8-2017

- Informatiebeveiligingsbeleid en onderliggende procedures. Gemeente Appingedam, 29-11-

2013

- Informatiebeveiligingsbeleid en -plan SUWInet, Werkplein Fivelingo. Gemeente Loppersum,

22-5-2017

- Informatiebeveiligingsbeleid, de deelplannen. Gemeente Delfzijl, 3-7-2017

- Informatiebeveiligingsbeleid. Gemeente Delfzijl, 4-7-2017 (concept)

- Informatiebeveiligingsbeleid. Gemeente Loppersum, 18-11-2013

- Informatiebeveiligingsplan BRP en waardedocumenten. Gemeente Loppersum, 21-9-2016

- Informatiebeveiligingsplan en plan van aanpak, Gemeente Loppersum. Overzicht van

verbetermaatregelen 2017-2018. Gemeente Loppersum, 21 maart 2017

- Jaarrekening en jaarverslag 2016. Gemeente Appingedam, 30-5-2017

- Jaarstukken 2016, gemeente Delfzijl

- Jaarverslag Informatiebeveiliging. Gemeente Delfzijl

- Plan van aanpak informatiebeveiliging, overzicht van verbetermaatregelen 2017-2018.

Gemeente Loppersum, 21-3-2017

- Plan van aanpak Informatiebeveiliging. Overzicht van verbetermaatregelen 2016-2017.

Gemeenten Appingedam, 6-4-2016

- Plan van aanpak. Informatiebeveiliging. Overzicht van verbetermaatregelen 2016-2017.

Gemeente Delfzijl, 22-11-2016

- Procedure handboek DigID. Gemeente Appingedam, 18-4-2016

- SIM CMS, DigID-autorisaties. Gemeente Appingedam, 18-4-2016

- Startdocument Implementatie ENSIA. Gemeente Loppersum, 2-10-2017

- Startnotitie ENSIA. Gemeente Loppersum, juli 2017


20

- Stroomschema medewerker aanmelden in CMS. Gemeente Appingedam, zonder datum

- Tijdsbesteding Governance Plan van aanpak maatregelen informatiebeveiliging. Gemeente

Delfzijl, 22-11-2016

- Verbetermaatregelen jaarschijf 2017-2018. Gemeente Loppersum, zonder datum

- Verslag Visitatiecommissie Informatieveiligheid VNG, Appingedam & Loppersum


21

Bijlage 2. Verklarende woordenlijst en afkortingen

2FA Twee factor authenticatie, zo wordt op 2 verschillende manieren gecheckt of degene

die inlogt degene is die hij/zij aangeeft te zijn

ACIB Algemeen Contactpersoon Informatiebeveiliging, ontvangt berichten van algemene

aard van de Informatiebeveiligingsdienst voor gemeenten

AP Autoriteit Persoonsgegevens

AVG Algemene Verordening Gegevensbescherming. Deze verordening harmoniseert de

wetgeving op privacywetgeving (zoals de Wet bescherming persoonsgegevens, Wbp)

in de EU. Is van kracht vanaf 25 mei 2016 en moet 25 mei 2018 geïmplementeerd zijn.

Applicatie Softwareprogramma, zoals de BAG, BRP, SUWInet enz.

BAG Basisregistratie Adressen en Gebouwen, applicatie met onder andere gegevens over

adressen en gebouwen in de gemeente

Berap Bestuursrapportage, 2 x per jaar

BIG Baseline Informatiebeveiliging Gemeenten, maatregelen voor de informatiebeveiliging

bij gemeenten, in 2013 als standaard afgesproken in VNG-verband

BIO Baseline Informatiebeveiliging Overheid, verwachting is dat hier de BIR en BIG in zullen

opgaan vanaf 2019

BIR Baseline Informatiebeveiliging Rijksdienst, geldt als basis voor de BIG

BIV Beschikbaarheid – Integriteit – Vertrouwelijkheid. Termen waarop de beveiligings-

risico's van de informatie/applicaties zijn geënt

BRP Basisregistratie Personen, applicatie met persoonsgegevens van de inwoners

BYOD Bring your own device, betekent dat medewerkers en externen hun eigen apparaten

(laptops, smartphones, usb-sticks enz.) meenemen en inloggen in het gemeentelijk

systeem

CERT Computer Emergency Response Team

CIO Chief Information Officer

CISO Chief Information Security Officer

Cloud De cloud staat voor een netwerk van computers die een soort 'wolk van computers'

vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de

software draait of waar die computers precies staan

ENSIA Eenduidige Normatiek Single Information Audit, eenmalige informatieverstrekking en

eenmalige IT-audit ten behoeve van de verticale en horizontale verantwoording

GAP Is de Engelse term voor ‘kloof’. Dat betekent hier het verschil tussen de bestaande

situatie en de gewenste situatie

GAP-analyse Controle of en in welke mate de maatregelen uit de BIG geïmplementeerd zijn

GBA Gemeentelijke Basisadministratie

GemCC Gemeenschappelijk Computer Centrum (Gemeenschappelijke regeling)

IBD Informatiebeveiligingsdienst voor gemeenten

ICT Informatie- en communicatietechnologie

IDS Intrusion detecting system

IMO Informatie Management Overleg

Incident Beveiligingsincidenten zijn gebeurtenissen die de betrouwbaarheid van de informatie

of de informatieverwerking aantasten.

IP-adres Internetprotocol adres, bestaande uit (momenteel) 4 setjes van drie cijfers. Met

behulp van deze set cijfers is elke computer en apparaat dat op internet is aangesloten

te traceren


22

IPv6 Is de opvolger van het traditionele IP-adres. De oude IP-adressen, eigenlijk IPv4,

raakten op. Onder andere vanwege de groei van het aantal apparaten dat op internet

aangesloten wordt

ISMS Information security management system

KING Kwaliteitsinstituut Nederlandse Gemeenten

OWASP Open Web Application Security Project

P&C-cyclus Planning & Control cyclus

PDCA Plan-Do-Check-Act beleidscyclus

PKI-certificaat Public Key Infrastructure. Een PKI(overheid)-certificaat is een internationale standaard

voor de digitale ondertekening bij het versturen van gegevens en berichten.

RIVG Rijksdienst voor Identiteitsgegevens

SSO Single Sign On, op 1 werkplek via 1 aanmelding toegang krijgen tot alle applicaties

waar de gebruiker recht op heeft

TPM Third Party Memorandum. Verklaring dat de derde partij, die de gegevens voor de

gemeente bewerkt voldoet aan de geldende richtlijnen inzake informatiebeveiliging

Url Uniform Resource Locator. Verwijst naar een unieke adres waarmee de locatie van een

webpagina op internet wordt aangegeven of een e-mailadres

VCIB Vertrouwd Contactpersoon Informatiebeveiliging, ontvangt berichten van

vertrouwelijke aard van de Informatiebeveiligingsdienst voor gemeenten

Quick Scan- Informatiebeveiliging DAL- gemeenten...beveiliging bij de medewerkers van de gemeenten....

Documents

Transcript of Quick Scan- Informatiebeveiliging DAL- gemeenten...beveiliging bij de medewerkers van de gemeenten....