Informatiebeveiligingen en privacy

Informatiebeveiliging

In het eerste kwartaal is het rekenkamerrapport naar informatiebeveiliging openbaar geworden en hebben de besprekingen in de commissie VOF plaats gevonden. Verdere inhoudelijke behandeling in de raad heeft in september plaatsgevonden. De Rekenkamer heeft conclusies getrokken en aanbevelingen gedaan, die ons college voor het overgrote deel overneemt. Deze inzichten zijn gebruikt om ons meerjarenplan aan te passen. Vervolgens is er met een programma gestart dat de conclusies en aanbevelingen van de rekenkamer aanpakt. Het programma draagt zorg voor het uitvoeren van maatregelen op het gebied van informatiebeveiliging en daaraan gerelateerde maatregelen op het gebied van informatiebeheer en de fysieke beveiliging. De maatregelen zijn in kaart gebracht en geprioriteerd op basis van afgewogen risico’s. Ze zijn ingedeeld in vijf onderdelen waarvan vier sporen voor informatiebeveiliging en één voor fysieke beveiliging. De sporen voor informatiebeveiliging zijn: 1 Beleid, architectuur en wetgeving, 2 Inrichting Informatiebeveiliging functie, 3 Control en 4 Techniek. De uitvoering van de maatregelen kent zowel korte als lange doorlooptijden. Er wordt zowel in 2017 als in 2018 gewerkt aan de maatregelen van de vijf onderdelen. Deze verbetertrajecten zijn naar aanleiding van het rekenkamerrapport. aangescherpt en zullen na een externe second opinion gefaseerd geïmplementeerd worden.
Verder is in lijn met de laatste wereldwijde trends op het gebied van informatiebeveiliging meer ingezet op detectieve maatregelen door 24x7 monitoring. Dit is een waarschuwingssysteem in het geval kwaadwillenden zich toegang willen verschaffen tot gemeentelijke informatie binnen onze ICT infrastructuur. De tweede fase is gedurende maand 4 t/m 8 gerealiseerd en heeft geleid tot beter inzicht in interne informatiestromen en vermindering van het aantal securityincidenten per maand door de 24x7 monitoring. De vermindering aan securityincidenten is naast het oplossen van incidenten toe te schrijven aan het herkennen van incidenten die van een externe organisatie komen die gebruik maakt van ons netwerk en het herkennen van ogenschijnlijke incidenten die na onderzoek regulier verkeer blijkt te zijn. De aanbesteding om deze succesvolle eerste fasen van monitoring voor de komende jaren te borgen, is gestart.
Tot slot, in de eerste 7 maanden van 2017 zijn er naast 15 miljoen ontvangen legitieme emailberichten 21 miljoen emailberichten tegengehouden vanwege bijvoorbeeld dreiging op ransomeware. Er waren ongeveer 1000 security incidenten in de periode van januari tot en met april 2017 waarvan 450 meldingen waren van het NCSC over kwetsbaarheden in ICT componenten.

Privacy

De gemeente Rotterdam verwerkt veel gegevens van burgers en bedrijven en vindt het belangrijk om op een juiste manier met deze gegevens om te gaan. Daarom wordt er al jaren ingezet op de juiste beveiliging van deze gegevens.
Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Dit is de Europese wetgeving die gaat over gegevensbescherming en privacy. Aan deze Wet moet binnen twee jaar, dus vóór eind mei 2018, worden voldaan. Overheden krijgen hiermee twee jaar de tijd om veranderingen door te voeren, omdat deze nieuwe wet wijzigingen en aanscherpingen kent ten opzichte van de Wet bescherming persoonsgegevens (Wbp) die al van kracht was.
Uitgelicht, twee belangrijke thema’s op het gebied van privacy en security:
1. Op dit moment is het project “Rotterdam privacy proof” (implementatie van de Europese privacywetgeving) in volle gang. De onderdelen waarop op dit moment de meeste nadruk op ligt, zijn:
a. De “Governance” (alle maatregelen die nodig zijn om aan de AVG te (blijven) voldoen) en
b. Het centraal register van verwerkingen (overzicht en inzicht in alle registraties van persoonsgegevens waarvoor de gemeente verantwoordelijk is).
2. Vanuit security, integriteit en privacy is een meerjarige bewustwordingscampagne opgestart. Uit onderstaand overzicht blijkt dat merendeel van de datalekken een gedragscomponent heeft en bewustwording een belangrijk aspect blijft.

Datalekken

In de periode 1 mei 2017 tot en met 21 augustus 2017 zijn door Rotterdam 12 datalekken gemeld bij de Autoriteit Persoonsgegevens. Het betreft:

  • 2 mei: Akte naar een verkeerd adres verzonden (Cluster dienstverlening).
  • 2 mei: Stukken van een andere burger ten onrechte meegestuurd. Hierin stonden persoonsgegevens van 3 burgers (Cluster Bestuurs- en Concernondersteuning).
  • 12 mei: Ten onrechte is een bestand inzake leerlingenvervoer naar een vervoersbedrijf verstuurd. Hierin stonden van 187 burgers persoonsgegevens (Cluster Maatschappelijke ontwikkeling).
  • 18 mei: Stukken verkeerd geadresseerd, waarin persoonsgegevens van 2 burgers stonden (Cluster Bestuurs- en Concernondersteuning).
  • 23 mei: Verkeerd geadresseerde brief met persoonsgegevens van 1 burger (Cluster Werk en Inkomen).
  • 30 mei: Verkeerde stukken verzonden, met persoonsgegevens van 1 andere burger (Cluster Bestuurs- en Concernondersteuning).
  • 13 juni: Verloren smartphone met persoonsgegevens van 13 burgers. De telefoon was wel voorzien van een beveiligingscode, maar niet encrypt (Cluster Maatschappelijke ontwikkeling).
  • 19 juni: Bewerker WiGo4it heeft persoonsgegevens van 20 burgers van gemeente Rotterdam mogelijk naar andere gemeenten (Amsterdam en Utrecht) verstuurd (Cluster Werk en Inkomen).
  • 22 juni: Stukken en uitnodiging voor een gesprek naar verkeerd adres gestuurd, met daarin persoonsgegevens van 9 burgers (Cluster Bestuurs- en Concernondersteuning).
  • 6 juli: Een algemene mutatie is ten onrechte naar een onderneming verstuurd, met daarin persoonsgegevens van 2 medewerkers van een andere ondernemingen (Cluster Bestuurs- en Concernondersteuning).
  • 4 augustus: Ten onrechte een brief meegestuurd aan een andere burger, waarin persoonsgegevens van 1 burger stonden (Cluster Bestuurs- en Concernondersteuning).
  • 7 augustus: Gestolen tas met daarin een overzicht met persoonsgegevens van 1 burger (Cluster Maatschappelijke ontwikkeling).
  • 25 augustus: 1500 burgers via de mail aangeschreven in de CC ipv. de BCC (Cluster Werk en Inkomen).
  • 28 augustus: Ten onrechte stukken meegestuurd van 3 andere burgers (Cluster Werk en Inkomen).

Toelichting
Wat opvalt is dat het aantal meldingen met “mobile devices” (telefoons etc.) sterk is afgenomen. Dit kan te maken hebben met de aangescherpte regels en het verschaffen van informatie over het beveiligen ervan.