PRODUCTBELEID LOKALE OVERHEID 2017 | 2018

Privacy & security

Privacy en de beveiliging van persoonsgegevens staan terecht steeds meer in de belangstelling. Recente datalekken, identiteitsfraudes en cyberaanvallen tonen aan dat voortdurende aandacht voor beveiliging noodzakelijk is. Gelukkig staat security bij zowel onze nationale als de Europese overheid hoger op de agenda dan ooit:

  • Wet- en regelgeving wordt aangescherpt, zoals de meldplicht datalekken (van kracht per 1 januari 2016) en de General Data Protection Regulation van de EU.
  • Bij nieuwe wetsvoorstellen wordt een Privacy Impact Assessment uitgevoerd.
  • Er is een Nationaal Commissaris Digitale Overheid aangesteld.
  • Overheden voldoen verplicht aan de Baseline Informatiebeveiliging (BIR voor het Rijk, BIG voor gemeenten).

Voor de invulling hiervan zijn de gemeenten deels aangewezen op hun leveranciers. Ook Centric als leverancier van softwareproducten en -diensten en als bewerker (SMC) besteedt voortdurend aandacht aan deze onderwerpen. In dit hoofdstuk leest u welke maatregelen Centric neemt om u in staat te stellen invulling te geven aan uw verantwoordelijkheid voor de beveiliging van persoonsgegevens.

Ontwikkeling van veilige software

Centric heeft het manifest Grip op Secure Software Development (SSD) en het samenwerkingsconvenant van het Centrum Informatiebeveiliging en Privacybescherming (CIP) ondertekend. Daarmee geeft Centric aan de methode en de normenkaders waar mogelijk toe te passen binnen de organisatie. Als kennispartner draagt Centric daarnaast actief bij aan kennisopbouw om de informatievoorziening van organisaties veilig te krijgen én te houden.

Met de methode Grip op SSD geven wij klanten meer inzicht in onze werkwijze voor het ontwikkelen van veilige software. De normenkaders zijn een handvat voor het uitvoeren van securityaudits en pentesten.

DigiD-assessments

Logius vereist een jaarlijks ICT-beveiligingsassessment voor applicaties die DigiD gebruiken. Voor deze assessment heeft Logius een norm opgesteld afgeleid van de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties. De toetsing moet worden uitgevoerd door een Register EDP-auditor.

Voor de betreffende applicaties laat Centric jaarlijks een externe auditor een assessment uitvoeren voor het applicatiegedeelte en het hostingsgedeelte van de norm. De Third Party Mededeling (TPM) die we aan onze klanten ter beschikking stellen voorziet in een audit op de meeste normen. Een klein gedeelte betreft een audit op bijvoorbeeld het securitybeleid van de klant. Onze TPM kan samen met het gedeelte van de klant bij Logius ter verificatie worden aangeboden.

Samenwerking met de Informatiebeveiligingsdienst (IBD)

Samenwerking tussen de verschillende partijen - gemeenten, de Informatiebeveiligingsdienst voor gemeenten, en leveranciers - is een belangrijke voorwaarde om snel en adequaat op dreigingen en kwetsbaarheden te kunnen reageren. Centric en KING hebben een overeenkomst afgesloten met als doel om het niveau van de informatiebeveiliging bij gemeenten te verhogen. Deze overeenkomst houdt het volgende in:

  • aansluiten op en gebruikmaken van de Dienst Kwetsbaarheidswaarschuwingen en de Detectiedienst
  • gemeenten en de IBD informeren elkaar proactief bij incidenten waarbij de informatieveiligheid in het geding is
  • voor leveranciers geldt een inspanningsverplichting om producten en diensten zo te leveren dat gemeenten niet belemmerd worden bij de toepassing van de BIG 

Certificering

Centric Managed Services heeft het eigen informatiebeveiligingsbeleid opgesteld en geïmplementeerd conform de beveiligingsnorm ISO 27001. De beheeractiviteiten van de afdeling Managed Services SMC zijn dan ook volgens deze norm gecertificeerd. Voor de invulling van de beheersmaatregelen gebruiken we de richtlijnen van ISO 27002.

Centric heeft vergelijkbare eisen geformuleerd richting haar leveranciers. Op basis van jaarlijkse audits scherpen we ons beleid voor informatiebeveiliging waar nodig aan. Informatie over de certificering en de Verklaring van toepassing is te verkrijgen bij de security officer van het ons datacenter.

Voor de salarisverwerking PIMS@all/LPS is een ISAE 3402 (voorheen SAS 70) accountantsverklaring beschikbaar.

Bewerkersovereenkomst

Als u persoonsgegevens bij Centric laat verwerken dan is daarvoor een bewerkersovereenkomst nodig met de afspraken en maatregelen om een veilige verwerking te garanderen. Centric heeft in 2016 samen met de GV Centric en de Informatiebeveiligingsdienst (IBD) een standaard bewerkersovereenkomst opgesteld. Deze overeenkomst is al veelvuldig gebruikt voor de dienstverlening aan de Centric klanten. In 2017 zal samen met de GV Centric een evaluatie van het gebruik uitgevoerd worden.

Beveiliging van databases

Centric hanteert richtlijnen en best practices voor de beveiliging van databases. Deze richtlijnen betreffen onder andere het intrekken van onnodige rechten en toegangen en het toepassen van wachtwoordbeleid. Om bestaande databases te controleren is een script gemaakt om te rapporteren of aan de richtlijnen wordt voldaan. Met de uitrol van Oracle 12c R2 zijn de databases en applicaties conform deze richtlijnen ingericht. Daarbij wordt ook het script geleverd, waarmee u zelf een controle op uw eigen databases kunt uitvoeren. Centric adviseert om Transparant Database Encryptie (TDE) toe te passen. Hiermee wordt voorkomen dat gevoelige gegevens onversleuteld worden opgeslagen.

Privacy

In 2016 is de nieuwe Europese verordening General Data Protection Regulation (GDPR) aangenomen die in 2018 van kracht wordt. In het komende jaar moeten maatregelen in de processen en applicaties genomen worden om te kunnen voldoen aan de nieuwe richtlijnen. Denk hierbij aan:

  • Het inbouwen van logging in de applicaties van het relevante gebruik, raadplegen en uitwisseling van persoonsgegevens;
  • Het uitvoeren van Privacy Impact Analyses;
  • Het kunnen informeren van betrokkenen (burgers) over de vastgelegde gegevens en het gebruik daarvan;
  • Het anonimiseren van persoonsgegevens wanneer deze gebruikt worden voor testdoeleinden;
  • Het toepassen van het privacy-by-design principe: het nemen van privacvy verhogende maatregelen en het minimaliseren van het gebruik van persoonsgegevens.

 

Dienstverlening

Naast de hierboven beschreven maatregelen biedt Centric meerdere diensten die u in staat stellen te voldoen aan de wet- en regelgeving voor privacy en security:

  • ondersteuning bij Privacy & Risk Impact Assessments
  • security audits en pentesten op uw omgeving
  • HelloMe: een SaaS-dienst voor het centraal beheren van uw digitale identiteiten, Single Sign On voor uw applicaties, strikter wachtwoordbeleid en het door gebruikers zelf resetten van wachtwoorden