Thema-architectuur Privacy en Informatiebeveiliging: verschil tussen versies

Geen bewerkingssamenvatting
Geen bewerkingssamenvatting
 
(11 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 1: Regel 1:
{{Cocreatie
{{Publicatie
|Cocreatiepublicatie=Cocreatie
|Paginastatus=publiceren
|Redactiestatus=Actueel
|Redactiestatus=Actueel
|GEMMAOnlinebeheerder=Beheerder Privacy en Informatiebeveiliging,
|Wikibeheerder=Beheerder Privacy en Informatiebeveiliging,
}}
}}
[[Categorie:Thema-architecturen]][[Categorie:Privacy en Informatiebeveiliging]]
__NOTOC__
__NOTOC__
[[Categorie:Thema-architecturen]]
Privacy verwijst naar het recht en de mogelijkheid van individuen om controle te hebben over hun persoonlijke informatie en de mate waarin ze ervoor kunnen kiezen om die informatie te delen met anderen. Informatiebeveiliging verwijst naar het proces van beschermen van informatie tegen ongeoorloofde toegang, ongeautoriseerde openbaarmaking, wijziging, vernietiging of verstoring. Privacybescherming is gerelateerd aan Informatiebeveiliging omdat (persoonlijke) informatie zodanig beveiligd moet kunnen worden dat geen ongeoorloofde toegang mogelijk is.Gemeenten moeten privacy en informatiebeveiliging borgen om te voldoen aan wet en regelgeving en het vertrouwen van burgers en bedrijven te behouden. Toenemende digitalisering, het verweven raken van publieke en particuliere netwerken en het vaker delen van informatie leidt tot meer beveiligingsdreigingen en een toename van risico's. Er zijn nieuwe maatregelen en een aangepaste inrichting van de informatievoorziening nodig om privacy en beveiliging te kunnen blijven borgen.
{{PaginaVervangen|pagina = Thema Privacy en Informatiebeveiliging}}


== Aanleiding ==
Door de toenemende digitalisering van de samenleving en dienstverlening van gemeenten wordt het steeds belangrijker om aandacht te hebben voor privacy en informatiebeveiliging. Decentralisatie van overheidstaken naar gemeenten, de uitwisseling van data met (keten)partners, veranderende technische mogelijkheden en wetgeving zijn voorbeelden van ontwikkelingen die gemeenten noodzaken om bij nieuwe ontwikkelingen beveiliging en privacy 'by design' in te richten. Net zoals veel andere organisaties staan gemeenten voor de uitdaging om cybercriminaliteit en cyberincidenten te voorkomen en waar nodig te kunnen bestrijden en oplossen.
==Doel==
==Doel==
De thema-architectuur heeft als doel om gemeenten en leverancier te helpen om bij zodanig inrichten van de gemeentelijke informatievoorziening dat privacy en beveiliging geborgd zijn. Dit betekent dat bij veranderingen vanaf de start oog moet zijn voor privacy- en beveiligingsaspecten. Gemeenten zijn bezig om hun informatievoorziening fundamenteel te verbeteren en gaan daarvoor onder andere werken met andere manieren van data ontsluiten. Zaken als authenticatie, autorisatie en logging van verwerking moeten daarbij de benodigde aandacht krijgen om te zorgen dat een en ander veilig en rechtmatig plaatsvindt.  
Deze thema-architectuur heeft als doel om gemeenten en leveranciers te ondersteunen bij het borgen van privacy en informatiebeveiliging. Zowel binnen de bedrijfs-, informatie- als technische architectuur moet rekening worden gehouden met privacy en informatiebeveiligingsaspecten. Daarbij kan het gaan om uiteenlopende onderwerpen zoals beleid, processen, procedures, applicaties, data en technologie. De gemeentelijke informatievoorziening speelt daarbij een belangrijk rol. Door functies als authenticatie, autorisatie en logging van verwerking op een hedendaagse manier in samenhang in te richten wordt het beter mogelijk om privacy en informatiebeveiliging te kunnen borgen. 
 
==Architectuur==
Op het gebied van privacy en informatiebeveiliging bestaan al een groot aantal lijsten met aanbevolen maatregelen ('controls') en themagerichte handreikingen. De Baseline Informatiebeveiliging Overheid (BIO) biedt een uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsorganisaties. De Informatiebeveiligingsdienst (IBD) heeft speciaal voor gemeenten een groot aantal handreikingen ontwikkeld. 
 
De GEMMA vult dit aan door met een architectuurbril naar de (belangrijke!) aspecten privacy en informatiebeveiliging te kijken. De GEMMA kent daarbij geen aparte beveiligingsarchitectuur maar ziet privacy en informatiebeveiliging als aspecten die integraal onderdeel uitmaken van gemeentelijke architectuur. GEMMA-architectuurproducten waar dit tot uiting komt zijn bijvoorbeeld de [[Architectuurprincipes|GEMMA principes]] (met een richtinggevend principe als '{{ToonLinkNaarElementID
|id=8b4947f8-8dc8-4498-98db-8c6be240442a <!--Beheers risico's voortdurend-->
|modelid=2b2b88ba-8efe-46d3-8b40-47af290bc418
}}') en de [[Informatie-architectuur|GEMMA Informatie-architectuur]] (die bij iedere [[Overzicht alle referentiecomponenten|referentiecomponent]] de eisen beschrijft qua beschikbaarheid, integriteit en vertrouwelijkheid met de benodigde BIO-controls en -maatregelen).
 
Deze thema-architectuur is te zien als een aanvulling daarop en beschrijft onderwerpen die GEMMA-breed van belang zijn. Het per proces of informatiesysteem nemen van maatregelen is en blijft nodig maar is niet meer voldoende. Er zijn ook fundamentele veranderingen nodig binnen de gemeentelijke informatievoorziening. Bijvoorbeeld om informatiebeveiliging meer vanuit 'zero trust principes' in te gaan richten en voor autorisatie meer gebruik te gaan maken van beheersbare sets van regels ("policies"). 
 
Privacy en informatiebeveiliging kennen heel veel verschillende aspecten. Een groot aantal daarvan zijn niet gemeentespecifiek en vaak elders al goed beschreven. In plaats van die informatie te dupliceren wordt vanuit de GEMMA op een voor gemeenten bruikbare manier verwezen naar elders aanwezige bruikbare informatie. Bijvoorbeeld naar bepaalde onderdelen van de NORA of naar speciaal voor gemeenten gemaakte handreikingen van de IBD.


== Architectuur ==
{{Letop|uitleg= deze thema-architectuur zal binnenkort op een andere manier worden uitgewerkt en gepresenteerd}}
Sinds begin 2019 hebben de gemeenten de Baseline Informatiebeveiliging Overheid als opvolger van de Baseline Nederlandse gemeenten (BIG), hierover is meer te vinden op de [https://www.ibdgemeenten.nl/ website van de informatiebeveiligingsdienst voor gemeenten (IBD)]. De BIO bevat controls (beveiligingsdoelstellingen) en beveiligingsmaatregelen die ook hun weerslag hebben op delen van de GEMMA referentiearchitectuur. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op de BIO.
* [[GEMMA Procesarchitectuur|Procesarchitectuur]]: Informatiebeveiliging is niet een éénmalig project of activiteit, informatiebeveiliging moet procesmatig ingebed worden in de organisatie en aansluiten bij de P&C cyclus van die organisatie. Een Information Security Management System(ISMS) als beveiligingsproces inrichten binnen de gemeente heeft wel wat aandachtspunten. Hiervoor is een [https://www.informatiebeveiligingsdienst.nl/product/isms-v1-0/ Handreiking Information Security Management System (ISMS) BIO en AVG] gemaakt door de IBD.
* [[GEMMA_Inleiding_bedrijfsfuncties_en_-objecten|Bedrijfsfuncties en -objecten]]: In de BIO staan diverse beveiligingsprocessen benoemd die op orde moeten zijn en die ook ingebed zijn in het hierboven genoemde ISMS. Een overzicht van beveiligingsbeleid onderwerpen en daaraan gerelateerde beveiligingsprocessen staan in het document [https://www.informatiebeveiligingsdienst.nl/product/handreiking-informatiebeveiligingsbeleid-bio/ Handreiking Informatiebeveiligingsbeleid BIO]
* [[Informatie-architectuur]]: onderliggend aan de Informatiearchitectuur zijn er de referentiecomponenten, deze referentiecomponenten zijn geclassificeerd op BIV-eisen (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van deze BIV-eisen worden beveiligingseisen uit de BIO op BBN niveau aan applicaties gekoppeld zodat inzichtelijk wordt welke BIO controls en maatregelen van toepassing zijn. Ook zijn er beveiligingsreferentiecomponenten uitgewerkt zodat deze ook in applicatie architecturen kunnen worden meegenomen. Deze beveiligingsreferentiecomponenten staan [https://www.gemmaonline.nl/index.php/GEMMA2/0.9/id-90483141-8b35-491d-87e8-6ec1590fc89b hier]
* Technische informatiebeveiligingsarchitectuur: De techniek is over het algemeen gemeente en oplossing specifiek, er zijn echter wel beveiligingsarchitectuurpatronen uitgewerkt die op een aantal plaatsen te vinden zijn, bijvoorbeeld bij de [http://www.noraonline.nl/wiki/Beveiliging NORA] en in een document als afgeleide daarvan de [https://www.earonline.nl/images/earpub/5/5c/BIR_Operationele_Handreiking_v1_0.pdf BIR-operationele handreiking] op de site van de Enterprise Architectuur Rijksdienst (EAR).
{{Landingspagina
{{Landingspagina
|titel1 = Producten
|titel1 = Producten
|inhoud1 = Met welke wettelijke- en beleidskaders moet je rekening houden? Wat is er vanuit architectuur al geregeld qua principes, bouwstenen en standaarden, waardoor je hergebruik en een vliegende start kunt maken?
|inhoud1 =  
* De referentiecomponenten hebben een [[BBN-classificatie]]. Ontdek hoe deze te gebruiken zijn in de softwarecatalogus
GEMMA producten: <!-- * [[BBN-classificatie referentiecomponenten]] -->
* {{ToonLinkNaarElementID|id=90483141-8b35-491d-87e8-6ec1590fc89b}} <!-- Referentiecomponenten met ondersteuning voor BIO maatregelen -->
* [[Basisbeveiligingsniveau van referentiecomponenten]]
* [[Betrouwbaarheidscriteria van referentiecomponenten]]
* {{Sjabloon:ToonLinkNaarElementID | id=90483141-8b35-491d-87e8-6ec1590fc89b|modelid=2b2b88ba-8efe-46d3-8b40-47af290bc418|toonals=Referentiecomponenten t.b.v. BIO-maatregelen}}
 
Externe producten:
* [[NORA producten privacy en informatiebeveiliging]]
* [[IBD producten privacy en informatiebeveiliging]]


|titel2 = Meer informatie
|titel2 = Meer informatie
|inhoud2 =  
|inhoud2 =  
Informatiebeveiliging in projecten
Gemeentelijke projecten:
* [[Thema Logging en verwerkingsactiviteiten|Logging en verwerkingsactiviteiten]]
* [[Project Logging en verwerkingsactiviteiten|Logging en verwerkingsactiviteiten]]
* [[De BIO en de Omgevingswet]]
* [[De BIO en de Omgevingswet]]
* [[Omnichannel MijnZaken Informatiebeveiliging en privacy]]
* [[Omnichannel MijnZaken Informatiebeveiliging en privacy]]


Ga aan de slag met privacy en informatiebeveiliging.
* [[Practice_logging_van_verwerking | Practice Logging van verwerking door gemeente Nijmegen]]
* [https://www.informatiebeveiligingsdienst.nl Informatiebeveiligingsdienst (IBD)]
 
|hoogte = 420px
Digitale overheid:
* [https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nieuwe-technologieen-data-en-ethiek/privacy/ Privacy]
* [https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/ Cybersecurity]
 
Diversen:
* [https://autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/het-belang-van-privacy Het belang van privacy (Autoriteit Persoonsgegevens)]
* [https://www.bio-overheid.nl/ Baseline Informatie Overheid (BIO)]
* [https://www.forumstandaardisatie.nl/open-standaarden/verplicht?f%5B0%5D=field_standard_domain%3A4 Verplichte standaarden categorie 'Veilig Internet' (Forum)]
* [https://nicpet.pleio.nl/page/view/e1c7c39a-08a2-4e15-b190-9625b33684f1/kennisbank Kennisbank Privacy Enhancing Technologies (Nicpet)]  
 
|hoogte = 500px
}}
}}

Huidige versie van 11 apr 2024 om 02:01


Privacy verwijst naar het recht en de mogelijkheid van individuen om controle te hebben over hun persoonlijke informatie en de mate waarin ze ervoor kunnen kiezen om die informatie te delen met anderen. Informatiebeveiliging verwijst naar het proces van beschermen van informatie tegen ongeoorloofde toegang, ongeautoriseerde openbaarmaking, wijziging, vernietiging of verstoring. Privacybescherming is gerelateerd aan Informatiebeveiliging omdat (persoonlijke) informatie zodanig beveiligd moet kunnen worden dat geen ongeoorloofde toegang mogelijk is.Gemeenten moeten privacy en informatiebeveiliging borgen om te voldoen aan wet en regelgeving en het vertrouwen van burgers en bedrijven te behouden. Toenemende digitalisering, het verweven raken van publieke en particuliere netwerken en het vaker delen van informatie leidt tot meer beveiligingsdreigingen en een toename van risico's. Er zijn nieuwe maatregelen en een aangepaste inrichting van de informatievoorziening nodig om privacy en beveiliging te kunnen blijven borgen.

Doel[bewerken]

Deze thema-architectuur heeft als doel om gemeenten en leveranciers te ondersteunen bij het borgen van privacy en informatiebeveiliging. Zowel binnen de bedrijfs-, informatie- als technische architectuur moet rekening worden gehouden met privacy en informatiebeveiligingsaspecten. Daarbij kan het gaan om uiteenlopende onderwerpen zoals beleid, processen, procedures, applicaties, data en technologie. De gemeentelijke informatievoorziening speelt daarbij een belangrijk rol. Door functies als authenticatie, autorisatie en logging van verwerking op een hedendaagse manier in samenhang in te richten wordt het beter mogelijk om privacy en informatiebeveiliging te kunnen borgen.

Architectuur[bewerken]

Op het gebied van privacy en informatiebeveiliging bestaan al een groot aantal lijsten met aanbevolen maatregelen ('controls') en themagerichte handreikingen. De Baseline Informatiebeveiliging Overheid (BIO) biedt een uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsorganisaties. De Informatiebeveiligingsdienst (IBD) heeft speciaal voor gemeenten een groot aantal handreikingen ontwikkeld.

De GEMMA vult dit aan door met een architectuurbril naar de (belangrijke!) aspecten privacy en informatiebeveiliging te kijken. De GEMMA kent daarbij geen aparte beveiligingsarchitectuur maar ziet privacy en informatiebeveiliging als aspecten die integraal onderdeel uitmaken van gemeentelijke architectuur. GEMMA-architectuurproducten waar dit tot uiting komt zijn bijvoorbeeld de GEMMA principes (met een richtinggevend principe als 'Beheers risico's voortdurend') en de GEMMA Informatie-architectuur (die bij iedere referentiecomponent de eisen beschrijft qua beschikbaarheid, integriteit en vertrouwelijkheid met de benodigde BIO-controls en -maatregelen).

Deze thema-architectuur is te zien als een aanvulling daarop en beschrijft onderwerpen die GEMMA-breed van belang zijn. Het per proces of informatiesysteem nemen van maatregelen is en blijft nodig maar is niet meer voldoende. Er zijn ook fundamentele veranderingen nodig binnen de gemeentelijke informatievoorziening. Bijvoorbeeld om informatiebeveiliging meer vanuit 'zero trust principes' in te gaan richten en voor autorisatie meer gebruik te gaan maken van beheersbare sets van regels ("policies").

Privacy en informatiebeveiliging kennen heel veel verschillende aspecten. Een groot aantal daarvan zijn niet gemeentespecifiek en vaak elders al goed beschreven. In plaats van die informatie te dupliceren wordt vanuit de GEMMA op een voor gemeenten bruikbare manier verwezen naar elders aanwezige bruikbare informatie. Bijvoorbeeld naar bepaalde onderdelen van de NORA of naar speciaal voor gemeenten gemaakte handreikingen van de IBD.

Producten
GEMMA producten:

Externe producten:

Meer informatie
Gemeentelijke projecten:

Digitale overheid:

Diversen:

Betekenisvolle gegevens.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Een beschrijving van de structuur en interactie van de technologiediensten en technologiecomponenten.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Het totaal aan regels en voorzieningen gericht op de informatiestromen en –opslag of archivering ter ondersteuning van de primaire processen.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Normatieve en descriptieve documenten die huidige/toekomstige architectuur van een organisatie/domein schetsen.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Thema-architectuur_Privacy_en_Informatiebeveiliging&oldid=1061972"
Deze pagina is het laatst bewerkt op 11 apr 2024 om 02:01.