Beantwoording schriftelijke vragen datalekken bij gemeente Haarlemmermeer
Onderstaande antwoorden ontving HAP n.a.v. schriftelijke vragen over datalekken bij de gemeente Haarlemmermeer:
Geachte heer, mevrouw,
Op 31 januari 2017 ontvingen wij schriftelijke vragen van de fractie van HAP over datalekken bij gemeente Haarlemmermeer.
Onderstaand treft u de beantwoording aan.
Vraag 1:
Diverse media publiceerden vorige week naar aanleiding van het KRO-NCRv’-programma Reporter Radio een artikel over Datalekken bij gemeenten. De strekking van de berichtgeving was dat de helft van het aantal onderzochte gemeenten datalekken niet meldt bij de Autoriteit Persoonsgegevens.
Is het College op de hoogte van deze berichtgeving en herkent het College zich in het geschetste beeld van diverse media?
Antwoord: De berichtgeving is bekend maar we herkennen ons niet in het beeld. Zie ook vraag 3.
Vraag 2:
Heeft er zich in 2016 in de gemeente Haarlemmermeer één of meerdere datalek(ken) voorgedaan? Zo ja, wat was de ernst van het lek en is deze conform wetgeving gemeld bij de Autoriteit Persoonsgegevens?
Antwoord: De gemeente Haarlemmermeer heeft in 2016 drie keer een datalek gemeld bij de Autoriteit Persoonsgegevens. In twee gevallen ging het om gestolen apparatuur (laptop en iPad, buiten het Raadhuis), waar persoonsgegevens niet versleuteld op stonden.
Het derde datalek betrof het automatisch publiceren van persoonlijke brieven die aan de gemeenteraad werden gestuurd in de periode van 2004 tot 2010. Op dit moment wordt het systeem in overleg met de griffie opgeschoond.
Behalve de datalekken waar de gemeente zelf verantwoordelijk voor is, hebben we ook te maken met datalekken bij ketenpartners. Twee keer heeft een ketenpartner een datalek gemeld waarin mogelijk gegevens van onze inwoners staan. Eén keer bleek het de verantwoordelijkheid van Cocensus, een gemeenschappelijke regeling waarbij alle dataverwerkingstaken op het gebied van heffing en invordering van belastingen zijn overgedragen. Cocensus heeft het lek zelf bij de Autoriteit Persoonsgegevens gemeld. Zowel de gemeente als Cocensus hebben inwoners via de website geïnformeerd over het datalek. Cocensus werkt in overleg met de informatiebeveiligingsdienst voor gemeenten (IBD) en de betrokken leverancier aan een zorgvuldige afhandeling.
Verder heeft het Uitvoeringsinstituut Werknemers Verzekeringen (UWV) ons een brief gestuurd, waarin wij in kennis werden gesteld van een datalek bij het UWV. Het datalek hield in dat onze medewerkers in het sociaal domein meer gegevens in konden zien dan dat zij nodig hadden voor hun werkzaamheden. De Autoriteit Persoonsgegevens heeft in deze situatie geoordeeld dat het niet noodzakelijk is de inwoners te informeren.
Vraag 3:
Welke maatregelen heeft de gemeente Haarlemmermeer genomen om eventuele datalekken te voorkomen en wat is de huidige procedure voor het melden van datalekken in de Gemeente Haarlemmermeer en bij verbonden partijen van de gemeente?
Antwoord:
Onze organisatie werkt op verschillende manieren aan het vergroten van het bewustzijn in de organisatie over datalekken en de regelgeving. Er zijn onder andere presentaties en lezingen gehouden over privacy en de meldplicht datalekken.
Verder dragen maatregelen op het gebied van informatiebeveiliging bij aan het voorkomen van datalekken. Deze maatregelen liggen zowel op het vlak van bewustwording als op technisch gebied. Zo is er een bewustwordingscampagne gaande, die voortbouwt op de al eerder verplichte e-learningmodule. Nieuwe medewerkers volgen standaard een module over onze organisatie, onder andere over veilig werken.
Een voorbeeld op technisch gebied is dat de medewerkers in 2017 nieuwe mobiele werkapparatuur krijgen. Deze apparaten worden uitgerust met versleuteling van gegevens en een veiligere informatiearchitectuur.
Om datalekken bij ketenpartners te voorkomen nemen we in het nieuwe Beleidskader Verbonden Partijen aanvullende eisen op aan onze verbonden partijen op het gebied van informatiebeveiliging. We maken daarbij ook nadere afspraken met de verbonden partijen over de afstemming met de gemeente. Het beleidskader verbonden partijen wordt voor de zomer ter vaststelling aan de raad aangeboden.
Datalekken doorlopen de reguliere incidentenprocedure en komen ter beoordeling bij de Functionaris Gegevensbescherming. Het is niet mogelijk om vast te stellen of alle datalekken zijn gemeld bij de daartoe aangewezen Functionaris Gegevensbescherming. Wel merken wij op dat vermoedens van datalekken steeds vaker en sneller worden gemeld bij de Functionaris Gegevensbescherming. Hij meldt deze conform de regels zo spoedig mogelijk bij de Autoriteit Persoonsgegevens. Tevens informeert hij de directie en indien nodig de portefeuillehouder informatiebeveiliging over het datalek.
Vraag 4:
In hoeverre is dit onderwerp onderdeel van het huidige informatiebeveiligingsbeleid (2013) en in hoeverre komt dit terug in de evaluatie van de nieuwe aanpak informatiebeveiliging?Antwoord:
Het huidige Informatiebeveiligingsbeleid uit 2013 heeft een apart hoofdstuk over het afhandelen van beveiligingsincidenten. Datalekken zijn beveiligingsincidenten en worden als zodanig afgehandeld. Naar aanleiding van de nieuwe wetgeving Meldplicht datalekken is de afhandelingsprocedure voor datalekken in 2015 nader gespecificeerd. Deze procedure wordt geëvalueerd.
Binnenkort verschijnt de B&W nota Jaarverslag 2016 Privacy en Informatiebeveiliging. Privacybescherming en het voorkomen van datalekken liggen op het terrein van informatiebeveiliging, vandaar dat ze in één nota van B&W aan de orde komen. Het afhandelen van datalekken is onderdeel van deze nota.
In de nota staan ook de genomen maatregelen op het gebied van mens, techniek en organisatie. Er is veel afstemming tussen de Functionaris Gegevensbescherming en de Security Officer.
Vraag 5:
Wanneer kunnen we de evaluatie informatiebeveiliging verwachten?
Antwoord:
In maart 2017 sturen wij u de evaluatie toe in de vorm van het Jaarverslag 2016 Privacy en Informatiebeveiliging.
Wij verwachten u hiermee voldoende te hebben geïnformeerd.
Hoogachtend,
burgemeester en wethouders van de gemeente Haarlemmermeer,
de secretaris (drs. Carel Brugman), de burgemeester, (drs. Theo Weterings)