Informatiebeveiligingsbeleid en Privacybeleid
Informatie is één van de voornaamste bedrijfsmiddelen van West Maas en Waal. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties.
Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.
Informatiebeveiligingsbeleid
Om de informatiestromen te waarborgen hanteert gemeente West Maas en Waal de volgende informatiebeveiliging uitgangspunten gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG):
1. Organisatie van informatiebeveiliging
Medewerkers dragen zelf de verantwoordelijkheid voor informatiebeveiliging. Om hierin te ondersteunen zijn er rollen en taken gedefinieerd.
- Het College is eindverantwoordelijke en stelt het informatiebeveiligingsbeleid vast.
- Het team Informatievoorziening is verantwoordelijk voor dagelijks beheer van technische Informatiebeveiligingsaspecten.
- De coördinatie van informatiebeveiliging is belegd bij de CISO.
- De teamleiders rapporteren aan de CISO en zijn samen met de CISO mede verantwoordelijk voor de uitvoerende taken van het IB-beleid.
- De CISO en FG dragen zorg voor de controlerende taken van het beleid.
2. Beheer van bedrijfsmiddelen
- Medewerkers dienen bij het gebruik van ICT-middelen, sociale media en informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen.
- De medewerker neemt zelf passende technische en organisatorische maatregelen om informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met:
- de beveiligingsclassificatie van de informatie;
- de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid);
- aan de werkplek verbonden risico’s;
- Het risico door het benaderen van informatie met andere dan door de gemeente verstrekte of goedgekeurde ICT-apparatuur.
- Privégebruik van informatie en bestanden is niet toegestaan. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld.
- Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van het managementteam geblokkeerd.
3. Beveiliging van personeel
- Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding een Verklaring Omtrent het Gedrag. De VOG wordt indien nodig herhaald tijdens het dienstverband.
- De teamleider bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt.
- Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en regelingen.
4. Fysieke beveiliging en beveiliging van de omgeving
- De gemeente hanteert een ‘clear desk clear screen’ policy. Dit betekent dat u geen belangrijke informatie op uw werkplek achter laat maar het goed opbergt als u de werkplek verlaat. Binnen onze organisatie hoort bij Clear Desk ook het goed opbergen van USB sticks, externe harde schijven en andere losse gegevensdragers. Bij ‘clear sceen’ moet u uw scherm vergrendelen. Als u weg gaat, voor kortere of voor langere tijd, moet u tenminste uw beeldscherm blokkeren, bijvoorbeeld door de toetscombinatie [WINDOWS & L).
5. Beheer van communicatie en bedieningsprocessen
- De gemeente gaat steeds meer samenwerken en informatie uitwisselen in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in de keten, ook al is het beheer bij een andere partij neergelegd. De medewerker is daarom ook zelf verantwoordelijk om na te denken hoe gegevens op een veilige manier uitgewisseld kan worden.
6. Toegangsbeveiliging
- Autorisatie tot informatiesystemen en werkplekken is rol gebaseerd en worden toegekend via functie(s) en organisatie onderdelen na goedkeuring van de desbetreffende teamleider.
- Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en wijziging door onbevoegden tijdens transport en opslag (door middel van encryptie). Medewerkers dragen hierin ook de verantwoordelijkheid door wachtwoorden geheim te houden.
- Voor werken op afstand/thuis is een werkomgeving beschikbaar. Medewerkers dragen zelf zorg voor dat dit op een veilige en verantwoorde manier gebeurt. Denk hierbij aan; geen gebruik maken van onbeveiligde openbare WIFI, laat je buurvrouw niet op je scherm meekijken als je van huis werkt etc.
7. Naleving
- Ter verbetering van de kwaliteit van informatieveiligheid en voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van beveiligingseisen zijn alle medewerkers verplicht zich aan de wettelijke kaders, richtlijnen en beleidsuitgangspunten van de gemeente te houden. De medewerker is zelf ook verantwoordelijk voor het bijwonen van Informatiebewustzijn workshops die door de gemeente aangeboden wordt.
8. Melding datalek
- De medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct te melden bij de CISO/functionaris informatiebeveiliging van de gemeente. Dit geld ook voor verlies of diefstal van laptops, USB-sticks, tablets e.d., waarbij informatie in verkeerde handen (terecht kan )kom(en)t. Dit kan persoonlijk of door een mail te sturen naar: informatieveiligheid@westmaasenwaal.nl.
Privacybeleid
Binnen de gemeente West Maas en Waal wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten) partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de gemeentelijke wettelijke taken. De burger moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met de persoonsgegevens omgaat. De gemeente is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft door privacy uitgangspunten te hanteren.
De gemeente West Maas en Waal hanteert de volgende privacy uitgangspunten gebaseerd op Art.5 Algemene Verordening Gegevensbescherming:
- Rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is ten overstaan van de betrokkene.
- Doelbinding: persoonsgegevens worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen en mogen vervolgens niet verder verwerkt worden op een wijze die niet conform is met de doeleinden waarvoor ze zijn verkregen.
- Minimale gegevensverwerking: gegevensverwerking vindt uitsluitend plaats voor zover dit wettelijk gerechtvaardigd is (er moet een noodzaak zijn).
- Juistheid: gegevens zijn juist, nauwkeurig en voldoende actueel. Verzoeken van eigenaars van persoonsgegevens op het gebied van rechten zoals ‘het recht om vergeten te worden’, ‘recht op inzage’, ‘recht op rectificatie’ worden opgevolgd zover dat mogelijk.
- Opslagbeperking: persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen om wettelijke verplichtingen te kunnen naleven.
- Integriteit en vertrouwelijkheid: persoonsgegevens zijn beveiligd door middel van technische en organisatorische maatregelen op een dusdanige manier dat persoonsgegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijke verlies, vernietiging of beschadiging.
- Verantwoordingsplicht: de gemeente die persoonsgegevens verwerkt moet als verwerkingsverantwoordelijke kunnen aantonen waarom welke persoonsgegevens verwerkt worden.
- Informatieveiligheid: de gemeente hanteert geheimhoudingsafspraken en er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Gemeenten. Informatievoorzieningen zijn beveiligd tegen problemen die de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens aantasten.
- Interne – en Externe partijen: Iedereen werkzaam binnen de gemeente is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacy rechten van personen. Als er sprake is van structurele uitwisseling of samenwerking met externe organisaties of andere gemeente(n), maakt de gemeente West Maas en Waal vooraf afspraken over gegevensuitwisseling en legt deze vast door middel van een verwerkersovereenkomst.
- Verwerkingen – elke nieuwe lijst van verwerkingen waarin persoonsgegevens komen te staan dient opgenomen te worden in het verwerkingsregister en gemeld te worden bij de Functionaris Gegevensbescherming per mail fg@westmaasenwaal.nl.
Na beëindiging dienstverband of bij functiewijziging blijft de verplichting voor bescherming van informatie en persoonsgegevens van kracht.