Bedrijfsvoering

Informatiebeveiliging en privacy

Informatiebeveiliging

In het eerste kwartaal is het rekenkamerrapport naar informatiebeveiliging openbaar geworden. De Rekenkamer heeft conclusies getrokken en aanbevelingen gedaan, die het college voor het overgrote deel heeft overgenomen. Via het programma Rekenkamer Informatiebeveiliging, dat vervolgens is gestart, is in 2017 een aantal maatregelen geïmplementeerd, waardoor het o.a. niet meer mogelijk is om in een aantal kantoorpanden met eigen apparaten toegang te krijgen tot het bekabelde netwerk, is de toegang tot informatiesystemen met gevoelige (persoons)gegevens en de mail op mobiele apparaten beter beveiligd, zijn de kritische technische kwetsbaarheden uit het vorige onderzoek van de Rekenkamer verholpen, is er nieuwe beveiligingssoftware geïmplementeerd waardoor hackpogingen en kwaadaardige software in een vroeg stadium ontdekt kunnen worden en is er een start gemaakt met de bewustwording van medewerkers op het gebeid van informatiebeveiliging. Er is tevens een start gemaakt met het beveiligen van de toegang tot een aantal kantoorpanden d.m.v. het plaatsen van tijdelijke toegangspoortjes en extra beveiligers.

In lijn met de laatste wereldwijde trends wordt op het gebied van informatiebeveiliging meer ingezet op detectiemaatregelen door 24x7 security monitoring. Dit is een waarschuwingssysteem in het geval kwaadwillenden zich toegang willen verschaffen tot gemeentelijke informatie binnen onze ICT infrastructuur.  Alle medewerkers mogen sinds 2017 alleen via speciale beveiligingssoftware gevoelige gemeentelijke informatie op hun mobiele apparaten benaderen. Het concern informatiebeveiligingsbeleid is in 2017 geactualiseerd en begin 2018 door het college vastgesteld. De jaarlijkse penetratietest die de veiligheid binnen de gemeente onderzoekt is uitgevoerd. Bevindingen met een kritiek of hoog risico zijn in 2017 nog opgelost. In de laatste maanden van 2017 heeft de rekenkamer een vervolgonderzoek gedaan naar de veiligheid van gevoelige informatie. Begin 2018 is hiervan het resultaat gedeeld. Een belangrijke conclusie was dat de effectiviteit van de beveiliging sinds eind 2016 merkbaar is verbeterd.

Tot slot, in 2017 is maandelijks 50 tot 75% van alle ontvangen emailberichten tegengehouden vanwege bijvoorbeeld dreiging op ransomeware. Er waren ongeveer 1722 security incidenten in 2017 waarvan 711 meldingen van het Nationaal Cyber Security centrum (NCSC) over kwetsbaarheden in ICT componenten. Alle meldingen worden geanalyseerd en waar nodig voorzien van een oplossing. Waar de meldingen betrekking hebben op (potentiële) datalekken wordt ook de privacy officer betrokken.

Privacy  
De gemeente Rotterdam verwerkt veel gegevens van burgers en bedrijven en vindt het belangrijk om op een juiste manier met deze gegevens om te gaan. Daarom wordt er al jaren ingezet op de juiste beveiliging van deze gegevens. Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Dit is de Europese wetgeving die gaat over gegevensbescherming en privacy. Aan deze Wet moet binnen twee jaar, dus vóór eind mei 2018, worden voldaan. Overheden kregen hiermee twee jaar de tijd om veranderingen door te voeren, omdat deze nieuwe wet wijzigingen en aanscherpingen kent ten opzichte van de Wet bescherming persoonsgegevens (Wbp) die al van kracht was.

Op dit moment is het project “Rotterdam privacy proof” (implementatie van de Europese privacywetgeving) in volle gang. De onderdelen waarop op dit moment de meeste nadruk op ligt, zijn:
a. De “Governance” (alle maatregelen die nodig zijn om aan de AVG te (blijven) voldoen) en
b. Het centraal register van verwerkingen (overzicht en inzicht in alle registraties van persoonsgegevens waarvoor de gemeente verantwoordelijk is).

Awareness
Vanuit security, integriteit en privacy is medio 2017 een tijdelijke  bewustwordingscampagne opgestart, in 2018 start een meerjarige campagne. Uit het overzicht met de datalekken blijkt dat merendeel van de datalekken een gedragscomponent heeft en dat bewustwording een belangrijk aspect blijft.

Datalekken
In de eerste en de tweede bestuursrapportage 2017 is gerapporteerd over de datalekken in de periode januari tot en met augustus 2017. In de periode 1 september 2017 tot en met 31 december 2017 zijn door Rotterdam de volgende datalekken gemeld bij de Autoriteit Persoonsgegevens. Het betreft:
1-09-17 MO   Na update werkt applicatie t.b.v. Jeugdwet niet meer adequaat. Leveringsopdrachten aan verkeerde zorgaanbieder gestuurd met persoonsgegevens van 190 burgers;
14-09-17 BCO Informatieve email over werkzaamheden van een gemeenschappelijk systeem ten onrechte in CC gemaild i.p.v BCC, betreft persoongegevens en emailadressen van 60 betrokkenen;
19-09-17 BCO/Jd  Bezwaarstukken toegezonden aan gemachtigde met persoonsgegevens van andere burger dan zijn cliënt;
22-09-17 MO 3 lijsten per email door Jeugdhulpaanbieder naar vier gelieerde gemeenten gestuurd met persoonsgegevens van 33 jeugdigen;   
29-09-17 W&I Email met interne mededelingen met persoonsgegevens over burger is naar andere burger gestuurd i.p.v. collega;
6-10-17 BCO/Jd Stukken met persoonsgegevens van andere burger naar rechtbank gestuurd;
6-10-17 BCO/Veilig   Stukken naar verkeerde geadresseerde gestuurd. 2 betrokkenen;
6-10-17 MO 2 schrijfblokken met aantekeningen over 80 jongeren in tram achter gebleven;
18-10-17 W&I Uitnodiging voor banenmarkt is aan 15 burgers in cc gestuurd i.p.v. bcc.
26-10-17 BCO FTP service op laptop enkele maanden actief met testdata van 1 burger
9-11-17 BCO/Jd Stukken met persoonsgegevens naar de verkeerde ontvanger verzonden.
16-11-17 DV   Document met persoonsgegevens naar verkeerde ontvanger verzonden.
23-11-17 BCO/Jd Bij stukken van bezwaarmaker, verzonden aan zijn gemachtigde, zat een document van een andere bezwaarmaker met persoonsgegevens.    
24-11-17 W&I Geheime adresgegevens zijn door een overboeking van vakantiegeld zichtbaar geworden op bankafschrift ex-partner.    
27-11-17 W&I Onjuist geadresseerde email terecht gekomen bij verkeerde ontvanger met persoonsgegevens en inhoud over maatregelwaardig gedrag van 1 burger.
1-12-17 DV   Stukken naar verkeerde ontvanger verzonden met persoonsgegevens van 1 burger.
1-12-17 BCO/Jd Tas verloren met stukken met persoonsgegevens van 1 burger.
8-12-17 DV Log van foutmeldingen van afsprakensysteem met persoonsgegevens van 479 burgers is gemaild naar leverancier van systeem.
15-12-17 DV   Brief naar verkeerde ontvanger verzonden met persoonsgegevens van één persoon.
15-12-17 MO   Email verkeerd geadresseerd met persoonsgegevens van 1 jeugdige.
18-12-17 W&I Email verkeerd geadresseerd met persoonsgegevens van 1 burger   .
22-12-17 BCO/Veilig   Stukken naar verkeerde ontvanger verzonden met persoonsgegevens van 2 burgers.

Toelichting
Er komen wekelijks diverse meldingen binnen over zoekraken/diefstal van “mobile devices” (telefoons etc.). Wat opvalt is dat het aantal meldingen over diefstal/zoekraken van “mobile devices” (telefoons etc.) sterk is afgenomen. Dit kan te maken hebben met de aangescherpte regels en het verschaffen van informatie over het beveiligen ervan. De devices die zoekgeraakt zijn blijken allemaal voorzien te zijn van een sterke code en/of een secure hub, waardoor datalekken zijn voorkomen.

 

Programma`s
Financiën
Jaarrekening 2017
Gebieden