Gemeente Utrecht goed op weg met privacybescherming en informatiebeveiliging
Vanaf 25 mei 2018 is in de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywetgeving vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Bij de gemeente Utrecht staan privacybescherming en informatiebeveiliging (P&IB) al langere tijd hoog op de agenda. Hoe geeft Utrecht hier vorm aan?
Interview Rob van der Marck • Tekst Maarten Reith
Medio vorig jaar trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Dit is een Europese privacyverordening, bekend onder de Engelse naam General Data Protection Regulation (GDPR). De AVG gaat over de bescherming van alle gegevens die natuurlijke personen betreffen. Met het oog op de inwerkingtreding heeft de gemeente Utrecht vorig jaar haar privacy-verordening in september 2016 vernieuwd.
Parallel aan de Wbp is door de Informatiebeveiligingsdienst voor gemeenten (IBD) de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Deze geeft handvatten om privacygevoelige informatie op een goede manier te beveiligen. Nederlandse gemeenten committeerden zich een aantal jaar geleden aan de BIG als normenkader voor informatiebeveiliging. “Het streven is om in mei 2018 zowel conform BIG als AVG te werken”, zegt Hans van Impelen, in Utrecht Functionaris voor de Gegevensbescherming.

CISO en DISO
Kaj Siekman, Chief Information Security Officer (CISO) bij de gemeente Utrecht: “Veel gemeenten zijn met privacy en informatiebeveiliging bezig. De functie CISO hebben we in Utrecht in 2013 ingesteld omdat de eisen aan informatiebeveiliging steeds strenger werden. De decentrale coördinatie van informatiebeveiliging binnen de gemeentelijke organisatieonderdelen is belegd bij de Decentrale Information Security Officers (DISO). Er is veel geïnvesteerd in het opleiden en in stelling brengen van deze DISO’s, om de implementatie van de BIG en AVG te bewerkstelligen. Daarnaast ging er veel aandacht naar Privacy Impact Assessments (PIA’s). Die helpen antwoord te geven op de vraag: “Voldoen onze processen, systemen en afspraken aan de eisen die de wet eraan stelt, zijn er eventueel extra maatregelen nodig?”
Utrecht gebruikt circa 800 applicaties. Daaronder zijn diverse SAP-oplossingen, zoals Business Suite, BW, BO-DS, SRM, Business Workflow, BPC, Solution Manager, HANA, Fiori en Fiori apps. “De SAP-systemen zijn wat betreft P&IB tegen het licht gehouden”, aldus Jan Paul Berns, functioneel beheerder SAP. “Daaruit bleek dat een aantal verbeteringen nodig is. In het factureringsproces zaten bijvoorbeeld data die er niet meer in horen op basis van de nieuwe wet- en regelgeving. Voor de testomgeving wordt nu bijvoorbeeld zoveel mogelijk gebruik gemaakt van gepseudonimiseerde testgegevens.”
“Het autorisatiemodel op basis van functiescheiding moet dan wel inregelbaar zijn en logfiles moeten een standaard onderdeel van de software zijn”
Gedeelde verantwoordelijkheid
Op 25 mei 2018 moet de bedrijfsvoering van organisaties die werken met persoonsgegevens conform de AVG zijn. Zo moet iedere gemeente een Functionaris voor de Gegevensbescherming (FG) aangesteld hebben. Ook wordt een Privacy Impact Assessment (PIA) verplicht. Uit onderzoek van de VNSG onder ruim 100 SAP-gebruikers blijkt dat driekwart vindt dat compliancy met de AVG een gezamenlijke verantwoordelijkheid is van de softwareleveranciers en de organisatie. Hoe kijkt Utrecht daar tegenaan? Van Impelen: “De AVG wordt strikter uitgelegd dan de Wet bescherming persoonsgegevens. Bijvoorbeeld om toegang tot gegevens te regelen wordt autorisatie toegepast. Het autorisatiemodel op basis van functiescheiding moet dan wel inregelbaar zijn en logfiles moeten een standaard onderdeel van de software zijn. Controle hierop op basis van logging moet je zelf inregelen. Op dat vlak heeft de softwareleverancier een bepaalde verantwoordelijkheid. Ook wat betreft schaalbaarheid. We werken nu toe naar op rollen gebaseerde autorisatie met ‘Single Sign On’. SAP heeft daar een goed model voor. Een punt van aandacht bij autorisaties is het aanpassen van autorisaties bij doorstroom van medewerkers. Vooral bij interne doorstroom zie je soms dat men nieuwe autorisaties erbij krijgt, boven op de oude. Dat creëert onnodig kwetsbaarheden.” Ook op het punt van autorisaties is Utrecht actief bezig om het proces en de maatregelen te verbeteren.

Overheden zijn wakker
Organisaties moeten datalekken op basis van de meldplicht datalekken per 1 januari 2016 verplicht doorgeven aan de Autoriteit Persoonsgegevens. In de top 3 van het meldloket datalekken staan overheden op de derde plaats, achter de medische (eerste) en financiële (tweede) sector. Siekman: “Overheden zijn wakker geschud en actief bezig met het verbeteren van processen en maatregelen om datalekken te voorkomen. De focus in ICT ligt nu nog erg op applicaties en systemen. We zouden ons meer moeten gaan richten op de informatiestromen en de doelen waarvoor ze zijn ingericht.” Doelbinding en wettelijke grondslag zijn de basis voor gegevensverwerking, vult Van Impelen aan. “We mogen informatie maar voor één doel verzamelen, dat mag je niet hergebruiken voor iets anders. Bijvoorbeeld informatie over bijstandsuitkeringen gebruiken voor veiligheidsanalyses is wettelijk niet toegestaan, en strookt ook niet met het doel waarvoor de informatie oorspronkelijk werd verzameld. Wat dat betreft is het altijd zoeken naar de balans tussen privacy en veiligheid.” Utrecht heeft voor de implementatie van de AVG vorig jaar een projectleider aangesteld. In het register van verwerkingen wat online gepubliceerd gaat worden staat precies welke gegevens de gemeente verzamelt en met welk doel.

Audits
Frans de Waal, teamleider SAP & BI bij de gemeente Utrecht, is voorstander van meerdere kleinere audits per jaar in plaats van één grote. “Door vaker de thermometer in de systemen te steken krijg je een film in plaats van een foto of momentopname. Zo zijn veranderingen in autorisaties met behulp van logging beter te volgen. Al deze informatie draagt bij aan de jaarlijkse audit volgens de Eenduidige Normatiek Single Information Audit (ENSIA), waarmee overheden zich kunnen verantwoorden over privacybescherming en informatiebeveiliging. ENSIA is wat betreft uniforme verantwoording een flinke verbetering.

Bewustwording
Security blijft mensenwerk, aldus Van Impelen. “Tachtig procent van de fouten ontstaat tussen het beeldscherm en de bureaustoel. Neem inloggen op de werkomgeving of je werkmail bekijken in het buitenland via openbare wifi. Dat is een risico op een datalek waarbij gevoelige informatie kan uitlekken. Hiervoor hebben we binnen de gemeente naast beveiligde applicaties ook een bewustwordingsprogramma.” Een ander instrument is de inzet van ethische hackers. Deze hacken op een gecontroleerde manier. Siekman: “Als er kwetsbaarheden worden gevonden is de afspraak dat we de tijd krijgen om er iets aan te doen. Dat heet Responsible Disclosure. Deze ethische hackers zijn een belangrijk element in de strijd tegen kwetsbaarheden in informatiesystemen.”

Utrecht werkt dus volop aan privacybescherming en informatiebeveiliging om de belangen van de burgers zo goed mogelijk te beschermen. Siekman: “Het zijn immers hun gegevens, en daar moeten we als overheid zorgvuldig mee omgaan.”