Informatiebeveiliging en privacy

Informatiebeveiliging

Binnen de gemeente Rotterdam is in 2016 uitvoering gegeven aan het meerjarenplan voor concern informatiebeveiliging. Vanwege de toenemende dreiging is het noodzakelijk de informatiebeveiligingsfunctie zwaarder (d.w.z. breder en kennisintensiever) in te richten. Er zijn in 2016 drie nieuwe posities voor security officers ingevuld.
Naar aanleiding van een aantal datalekken is eind 2016 een traject doorlopen waarin medewerkers van de clusters Maatschappelijke Ontwikkeling en Werk en Inkomen begeleid zijn om mobiele apparaten te beveiligen.
In 2016 zijn drie grote aanbestedingen (Kwetsbaarheid scanning oplossing, Continuous security monitoring, Antimalware software voor de ICT omgeving) afgerond die het in 2017 mogelijk maken de beveiliging aan te scherpen. De lering die we uit de securityincidenten in 2016 kunnen trekken, is dat er meer aandacht nodig is voor het verbeteren van het veiligheidsbewustzijn van medewerkers. Hier wordt nader invulling aan gegeven in het meerjarenplan voor 2017, onder andere met de aangekondigde awareness campagne.

Gegevensbescherming

Binnen de gemeente Rotterdam worden veel gegevens van burgers en bedrijven verwerkt. Het is belangrijk om op een juiste manier met deze gegevens om te gaan. Daarom wordt er al jaren ingezet op de beveiliging van deze gegevens.

Het wettelijke kader wordt gevormd door de Algemene Verordening Gegevensbescherming (AVG) welke op 25 mei 2016 van kracht is geworden. Binnen twee jaar moet er aan deze wet worden voldaan.
De AVG ziet toe op de bescherming van persoonsgegevens en eist méér van organisaties dan de voorloper op het gebied van gegevensbescherming, de Wet bescherming persoonsgegevens (Wbp).

In 2016 zijn twee belangrijke ontwikkelingen op dit gebied ingezet:

  • In september 2016 is gestart met het project “Rotterdam privacy proof”. In 2017 en 2018 zullen de benodigde werkzaamheden en aanpassingen worden uitgevoerd.
  • Daarnaast heeft de gemeente Rotterdam in april 2016 een (kwartiermaker) Functionaris Gegevensbescherming (FG) aangewezen.
Datalekken 2016

In de periode van 1 januari 2016 tot en met 31 december 2016 zijn door Rotterdam 35 datalekken gemeld bij de Autoriteit Persoonsgegevens (op basis van 190 incidenten).
In de periode van 1 september tot en met 31 december was er sprake van 17 gemelde datalekken.

  1. 8 september: Verloren smartphone met persoonsgegevens van 112 personen (Cluster Maatschappelijke Ontwikkeling);
  2. 16 september: Database (bestand met persoonsgegevens van 12.450 ambtenaren van de gemeente) tijdelijk neergezet op een centrale data/netwerkschijf (Cluster Bestuurs- en Concernondersteuning);
  3. 23 september: Verloren smartphone met daarop persoonsgegevens van 1 persoon (Cluster Dienstverlening);
  4. 27 september: Gestolen smartphone met daarop persoonsgegevens van 5 medewerkers (Cluster Bestuurs- en Concernondersteuning/Directie Veiligheid);
  5. 30 september: Verlies van een smartphone met daarop persoonsgegevens van 24 personen (Cluster Maatschappelijke Ontwikkeling);
  6. 20 oktober: Privé-adres van een bestuurder van een B.V. als onderdeel van een dossier aan huurder(s) toegezonden (Cluster Bestuurs- en Concernondersteuning/Directie Veiligheid);
  7. 25 oktober: Namen en BSN’s van 4000 burgers waren zichtbaar voor alle medewerkers in de Outlookagenda van de gemeente Rotterdam (Cluster Werk en Inkomen);
  8. 25 oktober: Gestolen smartphone met persoonsgegevens van 10 medewerkers van de gemeente Rotterdam (Cluster Stadsontwikkeling);
  9. 27 oktober: Via Intranet (RIO) waren gegevens van burgers (bijstandsgerechtigden) te lezen in een excelsheet (Cluster Maatschappelijke Ontwikkeling);
  10. 1 november: Dossierstukken van 3 burgers zijn per abuis tussen de verzonden stukken aan een andere burger terecht gekomen (Cluster Bestuurs- en Concernondersteuning);
  11. 4 november: Verlies van een smartphone met daarom persoonsgegevens van 80 personen (Cluster Maatschappelijke Ontwikkeling);
  12. 11 november: Per abuis 8 cv's van stagiaires van de gemeente Rotterdam naar de kinderrechtswinkel verzonden (Cluster Bestuurs- en Concernondersteuning/Directie Veiligheid);
  13. 14 november: Verlies van een smartphone met daarop persoonsgegevens van 2 personen (Cluster Bestuurs- en Concernondersteuning);
  14. 16 december: Info rond radicalisering CC gestuurd ipv BCC. aan 100 betrokkenen (Cluster Bestuurs- en Concernondersteuning/Directie Veiligheid);
  15. 16 december:  Uit auto tas met laptop en papieren lijst gestolen met persoonsgegevens van 154 burgers (Cluster Maatschappelijke Ondersteuning);
  16. 23 december: Gestolen smartphone met daarop persoonsgegevens van 1 persoon (Cluster Stadsontwikkeling);
  17. 23 december: Tas met stukken vergeten op bankje op perron met gegevens van medewerkers Roteb. Geen BSN (Cluster Bestuurs- en Concernondersteuning).


Er is in 2016 een duidelijke toename van datalekken zichtbaar. Deze stijgende lijn is waarschijnlijk te wijten aan een toegenomen bewustwording waardoor meer datalekincidenten als zodanig worden onderkend en daarmee onderzocht.
In de meeste gevallen is er sprake van een menselijke fout of onbekendheid hoe er moet worden omgegaan met (bijzondere) persoonsgegevens. Hierdoor worden persoonsgegevens op verkeerde manieren gedeeld, waardoor gegevens soms ook zichtbaar zijn voor onbevoegden.

Bewust omgaan met gegevens is van het grootste belang. Daarom wordt vanuit de driehoek integriteit-security-privacy ingezet op een concernbrede bewustwordingscampagne. In 2016 is het voorwerk hiervoor gedaan, zodat de campagne in het voorjaar 2017 van start kan gaan.