De BIG en de Omgevingswet

Hoofdstuk: Relevante normen: Organisatie

De BIG en de Omgevingswet
  1. Managementsamenvatting
  2. Inleiding
  3. Architectuur
  4. Bestuurlijke aspecten
  5. Bevoegde gezagen
  6. Relevante normen: Organisatie
  7. Relevante normen: IB Processen
  8. Relevante normen: Techniek
  9. Bijlage A: Begrippen
  10. Bijlage B: Architectuurplaat
  11. Bijlage C: Basisnormen
Deze pagina is een onderdeel van De BIG en de Omgevingswet compleet: Hele document bekijken - Exporteren - Definitie

De BIG

In de BIG zijn een aantal normen beschreven welke van toepassing zijn op een gemeentelijke organisatie. De normen relevant voor de Omgevingswet zijn in dit hoofdstuk opgenomen. Waar mogelijk/nodig wordt de norm toegelicht en wordt er een oplossingsrichting gegeven. Dit is toepasbaar bij het inrichten van de informatievoorzieningen binnen de Omgevingswet. Naast de normen in dit hoofdstuk zijn er nog additionele normen vanuit de BIG waaraan voldaan moet worden. Echter zijn deze normen van een dusdanig basisniveau dat deze verder geen uitleg behoeven. Voor de volledigheid zijn deze normen opgenomen in Bijlage C.

Per norm zal in het kort worden aangegeven wat de consequentie van de BIO is op deze norm.

Normen

De normen die in deze paragraaf zijn uitgewerkt komen uit de BIG. De normen zijn voor zover mogelijk verkort, om enkel de relevantie voor de Omgevingswet te behouden.

BIG Norm 7.1.3

Aanvaardbaar gebruik van bedrijfsmiddelen

Er moeten regels worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT-voorzieningen.

  1. (A) Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en mobiele apparatuur). De CAR-UWO verplicht ambtenaren zich hieraan te houden. Voor extern personeel is dit in het contract vastgelegd.
  2. Gebruikers hebben kennis van de regels.
  3. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De toestemming kan generiek geregeld worden in het kader van de functieafspraken tussen manager en medewerker.
  4. (A) Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen.


Relevantie:
De informatievoorzieningen voor de Omgevingswet vormen een samengesteld digitaal stelsel waarin meerdere bevoegde gezagen deelnemen. Het DSO is hiervoor het centrale middelpunt. Het correct gebruik van een dergelijk digitaal stelsel is van belang voor het betrouwbaar functioneren van het stelsel en het (blijven) voldoen aan geldende wet- en regelgeving.

Impact:
Gemeente vormen een onderdeel van het digitale stelsel wat noodzakelijk is voor de uitvoering van de Omgevingswet. Het correct werken van ieder onderdeel maakt dat het stelsel als geheel kan functioneren, binnen de geldende wet- en regelgeving. Het correct gebruik van de ICT middelen en de informatie bedoeld voor de uitvoering van de Omgevingswet is hierbij noodzakelijk.

Oplossingsrichting:
Het aanvaardbaar gebruik van bedrijfsmiddelen is, anders gezegd, het handelen van mensen. Dit handelen kan gevolgen hebben voor zowel de betrouwbaarheid en vertrouwelijkheid van de informatie, als het functioneren van de technische systemen (b.v. overbelasting van systemen door een te grote zoekactie op een database). De gebruikers van de informatievoorzieningen moeten op de hoogte zijn welk handelen op beide gebieden aanvaardbaar is en wat niet. Hiervoor dient men regels op te stellen, waarvan de gebruikers kennis dienen te nemen. Gebruikers dienen zich volgens deze regels te gedragen.

Op technisch gebied is het mogelijk om maatregelen te implementeren om foutief handelen te voorkomen. Hier kan bij het opstellen van de regels rekening mee gehouden worden. Indien iets technisch onmogelijk gemaakt is, is het onnodig om hier verdere regels voor de gebruikers voor op te stellen.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-norm 8.1.3 en de volgende maatregelen zijn komen te vervallen 7.1.3.[3 en 4].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 6.1.1

Betrokkenheid van het College van B&W bij beveiliging

Het hoogste management behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.

  1. (A) Het College waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar opzet, bestaan en werking van de IB-maatregelen te bespreken in het overleg van B&W en hiervan verslag te doen.


Relevantie:
Bij de Omgevingswet waarborgt het College van B&W dat de informatiebeveiligingsaspecten op de juiste wijze aandacht krijgen. Daarvoor belegt het College de uitvoering hiervoor bij het lijnmanagement.

Impact:
Indien de implementatie van de IB-aspecten voor de Omgevingswet niet op de juiste wijze wordt aangestuurd bestaat het risico dat de ontwikkelde/aangepaste informatievoorzieningen niet gebruikt kunnen worden voor de taken waarvoor ze bedoeld zijn. Om de voorzieningen alsnog in gebruik te kunnen nemen zijn dan herstel acties noodzakelijk. Dat kost extra tijd, geld en verminderd beschikbaarheid van medewerkers voor andere noodzakelijke taken.

Oplossingsrichting:
Formuleer een duidelijke opdracht vanuit het College naar lijnmanagement. Op basis van reguliere overleggen kan men grip houden op de voortgang en indien nodig bijsturen op tijd, geld en andere middelen.

Impact BIO:
Deze norm komt in de BIO te vervallen.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 6.2.3

Beveiliging behandelen in overeenkomsten met een derde partij

Alle bedrijfsmiddelen moeten duidelijk zijn geïdentificeerd en er moet een inventaris van alle belangrijke bedrijfsmiddelen worden opgesteld en bijgehouden.

  1. De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.
  2. Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.
  3. In contracten met externe partijen is vastgelegd hoe men om dient te gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.
  4. In contracten met externe partijen is vastgelegd hoe wordt omgegaan met geheimhouding en de geheimhoudingsverklaring.
  5. Er is een plan voor beëindiging van de ingehuurde diensten waarin aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.
  6. In contracten met externe partijen is vastgelegd hoe escalaties en aansprakelijkheid geregeld zijn.
  7. Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar dezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken.
  8. De producten, diensten en daarbij geldende randvoorwaarden, rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst. Verbeteracties worden geïnitieerd wanneer onder het afgesproken niveau wordt gepresteerd.


Relevantie:
De meeste gemeenten besteden delen van de ICT uit bij externe leveranciers. Ook voor de Omgevingswet zal dit in de toekomst het geval zijn.

Impact:
Externe leveranciers/inhuur voeren in opdracht van gemeenten het beheer van en/of werkzaamheden op de informatiesystemen uit, zowel functioneel als technisch. Zij hebben daarmee de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving voor gemeenten. Deze verantwoordelijkheid moet contractueel geborgd worden, zie ook norm 6.2.1. Binnen de Omgevingswet worden persoonsgegevens verwerkt. Om deze reden moet is met gehouden aan de geldende wetgeving. Dit is de Algemene Verordening Gegevensbescherming (AVG, Europees ook bekend als GDPR).

Oplossingsrichting:
Indien er een contract gesloten wordt met een nieuwe leverancier is het van belang om de in bovenstaande norm beschreven risico’s en verplichtingen in het contract op te nemen. Op deze manier verplicht de leverancier zich voor het naleven van de voor gemeenten geldende wet- en regelgeving. Indien er een contact met een bestaande leverancier wordt uitgebreid is een controle op het huidige contract noodzakelijk. Gezien het feit dat deze leverancier al werkzaamheden verricht voor een gemeente zou deze zich al verplicht moeten hebben voor de conformatie aan de normen in de BIG. Toch blijkt dit niet altijd geborgd te zijn. Indien dit niet in het huidige contract is opgenomen, dient dit toegevoegd te worden.

Impact BIO:
Deze norm is in de BIO opgesplitst over verschillende BIO-normen, zoals 14.2.7, 15.1.2 en 15.1.3 en de volgende maatregelen zijn komen te vervallen 6.2.3.[1,3,4,6 en 8].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.2.2

Controle en beoordeling van dienstverlening door een derde partij

Er moeten back-upkopieën van informatie en programmatuur worden gemaakt en regelmatig worden getest overeenkomstig het vastgestelde back-upbeleid.

  1. Er worden afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer.
  2. De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord. Dit kan bijvoorbeeld middels audits of rapportages en gebeurt minimaal eens per jaar (voor ieder systeem).
  3. Er zijn voor beide partijen eenduidige aanspreekpunten.


Relevantie:
Voor het betrouwbaar kunnen werken met informatievoorzieningen voor de Omgevingswet is het van belang om dit op regelmatige basis te laten controleren.

Impact:
Reguliere controle op de dienstverlening van de informatievoorzieningen voor de Omgevingswet is noodzakelijk om een passende dienstverlening te realiseren en te handhaven.

Oplossingsrichting:
Tijdens het inrichten van de dienstverlening zijn er eisen en wensen opgesteld voor het functioneren van de informatievoorzieningen. Zowel voor functionele eisen als voor non-functionele eisen is dit het geval. Om te borgen dat de dienstverlening op het juiste niveau is en blijft, is het zaak deze op reguliere basis te controleren. Het is aan te raden dit minimaal één keer per jaar te laten doen door een derde partij.

Impact BIO:
Deze norm komt in de BIO te vervallen.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 6.1.2

Coördineren van beveiliging

Activiteiten voor informatiebeveiliging moeten worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies.

  1. (A) De rollen van CISO (Chief Information Security Officer), hierna security officer en het lijnmanagement zijn beschreven.
    1. . De CISO (Security Officer) rapporteert rechtstreeks aan de gemeente secretaris.
    2. . De CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van de Gemeente, verzorgt rapportages over de status, controleert dat m.b.t. de beveiliging van de Gemeente de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van de Gemeente.


Relevantie:
Bij de Omgevingswet is een goede coördinatie van de activiteiten voor informatiebeveiliging van essentieel belang. Dit gezien het feit dat de informatievoorzieningen voor de Omgevingswet een dragende pijler zijn voor het veilig faciliteren van de taken binnen de Omgevingswet. Met name in relatie met het DSO. De CISO vervult hierbij een onmisbare rol. Impact:
Om de toegang en de verwerking van de noodzakelijke informatie voor de Omgevingswet veilig te faciliteren is een goede coördinatie van de (IB) activiteiten hiervoor essentieel. De CISO vervult de verbindende rol tussen de verschillende betrokken delen van de organisatie, zodat alle aspecten hiervoor correct geadresseerd kunnen worden. Oplossingsrichting:
Beleg de rol van CISO in relatie tot de Omgevingswet en borg het kennisniveau binnen deze rol. De CISO beschouwd de informatievoorzieningen voor de Omgevingswet in relatie met de andere (reeds bestaande) informatievoorzieningen binnen de gemeente. De CISO adviseert en coördineert, rekening houdend met alle gerelateerde aspecten binnen zijn gemeente. Impact BIO:
Deze norm is niet geheel gelijk aan de BIO-norm 6.1.1.2.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 6.2.1

Identificatie van risico's die betrekking hebben op externe partijen

Alle geïdentificeerde beveiligingseisen moeten worden behandeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.

  1. Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.
  2. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
  3. Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
  4. Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
  5. (A) Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel 14) afgesloten.
  6. Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.
  7. Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd.


Relevantie:
De meeste gemeenten besteden delen van de ICT uit bij externe leveranciers. Ook voor de Omgevingswet zal dit in de toekomst het geval zijn.

Impact:
Externe leveranciers/inhuur voeren in opdracht van gemeenten het beheer van en/of werkzaamheden op de informatiesystemen uit, zowel functioneel als technisch. Deze leveranciers/inhuur vallen daarmee onder de voor gemeenten geldende wet- en regelgeving. Deze verantwoordelijkheid moet contractueel geborgd worden, zie ook norm 6.2.3.

Binnen de Omgevingswet worden persoonsgegevens verwerkt. Om deze reden moet is met gehouden aan de geldende wetgeving. Dit is de Algemene Verordening Gegevensbescherming (AVG, Europees ook bekend als GDPR).

Oplossingsrichting:
Bepaal nauwkeurig welke informatie en informatievoorzieningen onder het beheer van de externe leverancier komen te vallen. Deze afbakening is het uitgangspunt voor de bepaling van de risico’s. De waarde en privacy-gevoeligheid van deze informatie is in het geval van de omgevingswet bekend. Breng deze risico’s in kaart, zodat er naar passende maatregelen gezocht kan worden. Indien de leverancier persoonsgegevens zal verwerken is het noodzakelijk een verwerkersovereenkomst op te stellen. Een standaard verwerkersovereenkomst is te downloaden op de site van de IBD (https://www.informatiebeveiligingsdienst.nl/nieuws/standaard-voor-verwerkersovereenkomst-vanaf-nu-te-gebruiken/). Meer informatie over verwerkersovereenkomsten is ook te vinden op de site van de IBD ( https://www.informatiebeveiligingsdienst.nl/product/factsheet-verwerkersovereenkomsten/).

Impact BIO:
Deze norm is in de BIO opgesplitst over verschillende BIO-normen, zoals 15.1.1 en 15.1.2 en de volgende maatregelen zijn komen te vervallen 6.2.1.[3 en 4].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.


Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Betekenisvolle gegevens.

Voor alle gevallen geldend, niet specifiek.

Een systeem waarbinnen organisaties via afspraken, standaarden en/of voorzieningen samenwerken om bepaalde functionaliteit te realiseren.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

Een samenhangende hoeveelheid werk met een welgedefinieerde aanleiding en een welgedefinieerd eindresultaat, waarvan kwaliteit en doorlooptijd bewaakt moeten worden.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=BIGOw_Relevante_normen_-_Organisatie&oldid=953834"
Deze pagina is het laatst bewerkt op 5 okt 2023 om 03:23.