Informatiebeveiliging en privacy

Informatiebeveiliging

Tijdens de uitvoering van het meerjarenplan informatiebeveiliging zijn tijdens de eerste vier maanden van 2017 stappen voorwaarts gezet in de balans van onze preventieve en detectieve beveiligingsmaatregelen. In lijn met de laatste wereldwijde trends op het gebied van informatiebeveiliging is meer ingezet op detectieve maatregelen door de eerste fase te realiseren van 24x7 monitoring. Dit is een waarschuwingssysteem in het geval kwaadwillenden zich toegang willen verschaffen tot gemeentelijke informatie binnen onze ICT infrastructuur. Hiervoor zijn we in zee gegaan met een van de grootste gespecialiseerde cyberbeveiligingsbedrijven in Europa met vooraanstaande expertise op het gebied van cyberbeveiliging.
Hierbij worden niet alleen virussen, datalekken en andere malware ontdekt, maar hebben we vaardigheden in huis gehaald om hackers of zelfs vijandelijke staten die hacken te detecteren. Omdat de ontwikkelingen in informatiebeveiliging zich razendsnel blijven ontwikkelen zetten we ook de aankomende periode in om deze maatregel verder te verfijnen en het proces zodanig te optimaliseren dat bij cyberdreigingen er een nog sneller actie ondernomen wordt.

In het eerste kwartaal is ook het rekenkamerrapport naar informatiebeveiliging openbaar geworden en hebben de eerste besprekingen in de commissie VOF plaats gevonden. Verdere inhoudelijke behandeling is nog voor het zomerreces voorzien. De Rekenkamer heeft conclusies getrokken en aanbevelingen gedaan, die ons college voor het overgrote deel over neemt. We gebruiken deze inzichten om ons informatiebeveiligingsbeleid naar een hoger plan te tillen. In de afgelopen periode zijn de meest kritieke kwetsbaarheden die in het rekenkamerrapport naar boven kwamen opgelost. Daarnaast is gestart met een programma die deze uitdagingen grondig aanpakt en structureel oplost. Hiervoor zijn extra middelen ter beschikking gesteld. Het programma bestaat uit trajecten die passen in de sporen van het meerjarenplan IB en onze huidige verbetertrajecten aanvullen. Deze verbetertrajecten zijn aangescherpt en zullen na een externe second opinion gefaseerd geïmplementeerd worden.

Er waren ongeveer 700 security incidenten in de periode van januari tot en met april 2017 waarvan 324 meldingen waren van het NCSC over kwetsbaarheden in ICT componenten. Verder zijn er de afgelopen vier maanden 8.1 miljoen emailberichten tegengehouden tegenover 5 miljoen ontvangen legitieme emails.

Privacy

De gemeente Rotterdam verwerkt veel gegevens van burgers en bedrijven en vindt het belangrijk om op een juiste manier met deze gegevens om te gaan. Daarom wordt er al jaren ingezet op de beveiliging van deze gegevens.
Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Dit is de Europese wetgeving die gaat over gegevensbescherming en privacy. Aan deze Wet moet binnen twee jaar, dus vóór eind mei 2018, worden voldaan. Overheden krijgen twee jaar de tijd om veranderingen door te voeren, omdat deze nieuwe wet wijzigingen en aanscherpingen kent ten opzichte van de Wet bescherming persoonsgegevens (Wbp) die al van kracht was.

Uitgelicht, twee belangrijke gebeurtenissen op het gebied van privacy:
1. Op 12 april 2017 heeft de concerndirectie besloten om de volgende fase van het project “Rotterdam privacy proof” (implementatie van de Europese privacywetgeving) in te gaan en daarvoor de benodigde capaciteit beschikbaar te stellen. In dit project wordt via vier sporen uitvoering gegeven aan deze wet. De sporen zijn:

  • Benodigde governance;
  • Centraal register van verwerkingen;
  • Privacy by design;
  • Resterende regelingen beschrijven en implementeren.

2. De Autoriteit Persoonsgegevens heeft eind april 2017 het college schriftelijk laten weten dat zij naar aanleiding van de bevindingen van de Rotterdamse Rekenkamer een ambtshalve onderzoek is gestart (in de zin van de Wet bescherming persoonsgegevens).

Samen met informatiebeveiliging worden maatregelen uitgevoerd om aanvullende beveiligingsprotocollen en (organisatorische) maatregelen op te stellen en in te voeren. Uitgangspunt is een voldoende beveiliging, maar doen ook een beroep op de eigen verantwoordelijkheid van medewerkers. De berichtgeving aan medewerkers geeft informatie over hoe medewerkers moeten omgaan met mobile devices (instellen en gebruik van beveiligingscodes en encryptie), maar ook hoe met persoonsgegevens in brede zin moet worden omgegaan (bijvoorbeeld het niet rondmailen van BSN-gegevens en andere gevoelige informatie). Wij actualiseren het protocol datalekken op basis van de laatste inzichten. Ook zal er per geval (of incident) worden gekeken in hoeverre er sprake is van nalatigheid van onze medewerkers.

Datalekken

In de periode 1 januari 2017 tot en met 30 april 2017 zijn door Rotterdam 20 datalekken gemeld bij de Autoriteit Persoonsgegevens. Het betreft:

  1. 5 januari: Smartphone van een bestuurder verloren (deze was wel voorzien van een sterke pincode en encryptie).
  2. 6 januari: USB-stick verloren/verdwenen bij autobrand op oudjaarsavond (Cluster Bestuurs- en Concernondersteuning).
  3. 16 januari: Tas met smartphone (zonder encryptie), laptop en aantekeningen uit auto ontvreemd met persoonsgegevens van 3 burgers (Cluster Maatschappelijke Ontwikkeling).
  4. 17 januari: Stukken zijn naar een verkeerd emailadres verzonden met persoonsgegevens van 2 burgers (Cluster Bestuurs- en Concernondersteuning).
  5. 24 januari: Smartphone (zonder encryptie) verloren met persoonsgegevens van 60 burgers (Cluster Werk en Inkomen).
  6. 27 januari: Tas met 4 dossiers ontvreemd in trein met daarin persoonsgegevens van 11 burgers (Cluster Werk en Inkomen).
  7. 3 februari: Naheffingsaanslag verkeerd geadresseerd met persoonsgegevens van 1 burger (Cluster Dienstverlening).
  8. 12 februari: Brief inzake huisvestingsvergunning met persoonsgegevens zat in verkeerde enveloppe geadresseerd aan andere burger (Cluster Dienstverlening).
  9. 14 februari: Brief inzake adreswijziging met persoonsgegevens zat in verkeerde enveloppe bij een andere adreswijziging van een andere burger (Cluster Dienstverlening).
  10. 24 februari: Stukken ten behoeve van een hoorzitting zijn aan alle 6 bezwaarmakers verzonden met de persoonsgegevens van de bezwaarmakers die in bezwaarschrift stonden (niet geanonimiseerd) (Cluster Bestuurs- en Concernondersteuning).
  11. 2 maart: Politierapport is naar verkeerde pandeigenaar verstuurd met persoonsgegevens van 7 burgers (Cluster Bestuurs- en Concernondersteuning).
  12. 2 maart: Stukken naar verkeerde pandeigenaar verstuurd met persoonsgegevens van 1 burger (Cluster Bestuurs- en Concernondersteuning).
  13. 23 maart: Stukken naar burger verzonden met daarin 2 rapportages van andere burgers (Cluster Bestuurs- en Concernondersteuning).
  14. 24 maart: Smartphone (zonder encryptie) gestolen met daarop persoonsgegevens van 17 burgers (Cluster Maatschappelijke ontwikkeling).
  15. 31 maart: Brief per abuis ingesloten bij brief andere burger. Brief bevatte persoonsgegevens van 2 burgers (Cluster Werk en Inkomen).
  16. 31 maart: File van T-mobile met gegevens gemeente Rotterdam was toegankelijk in de portal van My T-mobile Pro Portal. Dit datalek is zowel door T-mobile (bewerker van de gegevens) als door de gemeente Rotterdam (verwerkingsverantwoordelijke van de gegevens) gemeld.
  17. 8 april: Smartphone (zonder encryptie) verloren met persoonsgegevens van 11 burgers (Cluster Werk en Inkomen).
  18. 18 april: Stukken naar het oude adres van een bezwaarmaker verzonden (Cluster Bestuurs- en Concernondersteuning).
  19. 25 april: Verblijfadres van kinderen bij pleegouders niet weggelakt en met de stukken naar de rechtbank verzonden (Cluster Bestuurs- en Concernondersteuning).
  20. 28 april: Verloren telefoon (zonder encryptie) met daarop persoonsgegevens van 7 burgers (Cluster Werk en inkomen).
Toelichting

Het aantal datalekken is fors als dit wordt afgezet tegen 35 op jaarbasis over 2016. Echter, vanwege het verhoogde bewustzijn vanwege eerdere lekken worden meer datalekken als zodanig onderkent. De acties ter voorkoming van datalekken hebben wel een positief gevolg. Zo zijn er geen datalekken meer gemeld, waarbij een slotcode ontbrak en zijn steeds meer devices encrypt.