STAATSCOURANT Nr. 15447 5 juni 2014 Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Bestuurlijke verklaring Informatieveiligheid De partijen: Het Uitvoeringsinstituut werknemersverzekeringen (UWV), te dezen vertegenwoordigd door J.P.M. Lazeroms, Raad van Bestuur UWV De Sociale Verzekeringsbank (SVB), te dezen vertegenwoordigd door R.J. Barendse, Raad van Bestuur SVB en: De Minister van Sociale Zaken en Werkgelegenheid (SZW), te dezen vertegenwoordigd door de heer A.H.C. Annink, Secretaris-Generaal SZW Overwegende dat: – de toenemende digitalisering en vernetwerking vraagt om een verdere professionalisering van de informatieveiligheid bij UWV en SVB; – UWV en SVB zelf verantwoordelijk zijn voor de informatieveiligheid binnen hun organisatie; – UWV en SVB conform Regeling SUWI artikel 5.22 in het jaarverslag rapporteren over informatieveiligheid en dat deze rapportage vergezeld gaat van een oordeel van een tot de Nederlandse Orde van Register EDP-auditors toegelaten persoon of een verklaring van getrouwheid van een dergelijke persoon; – UWV en SVB ook verantwoordelijkheden hebben ten aanzien van gegevens en informatievoorzieningen in hun rol als ketenpartner; – UWV en SVB, de colleges van burgemeester en wethouders, het Inlichtingenbureau en op de gezamenlijke elektronische voorzieningen SUWI aangesloten niet SUWI-partijen zorg dragen voor de beveiliging van de gegevensuitwisselingen die plaatsvinden in het kader van de gezamenlijke elektronische voorzieningen SUWI en dat Regeling SUWI artikel 5.22 van overeenkomstige toepassing is op het gebruik en de inrichting van de gezamenlijke elektronische voorzieningen SUWI. – UWV en SVB waar mogelijk onderling en met het ministerie van SZW en met andere partijen samenwerken aan informatieveiligheid; – UWV en SVB op basis van artikel 41 van de Kaderwet zbo’s, artikel 76 van de wet SUWI verplicht zijn zorg te dragen voor een afdoende beveiliging van (persoons)gegevens, van het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen. Verklaren zij: – dat UWV en SVB het Voorschrift Informatiebeveiliging Rijk (VIR) gaan hanteren en de Baseline Informatiebeveiliging Rijk (BIR) als tactisch normenkader daarbij gaan toepassen; – dat UWV en SVB hun informatiebeveiligingsbeleid baseren op het VIR en de BIR, opdat UWV, SVB en het Rijk uitgaan van hetzelfde basisniveau van informatieveiligheid. Mogelijk zijn aanvullende eisen nodig bovenop het basis normenkader. Dat blijkt onder andere uit de risicoafwegingen die UWV en SVB maken en de eisen van partijen die gegevens aan UWV en SVB leveren; – dat UWV en SVB betrokken worden bij het beheer van het VIR en de BIR. Publicatie in de Staatscourant De bestuurlijke verklaring wordt na ondertekening gepubliceerd in de Staatscourant. 1 Staatscourant 2014 nr. 15447 5 juni 2014 Aldus overeengekomen en in drievoud ondertekend, Den Haag, 19 mei 2014 De Minister van Sociale Zaken en Werkgelegenheid, namens deze A.H.C. Annink Secretaris-Generaal Raad van Bestuur UWV namens deze J.P.M. Lazeroms Lid Raad van Bestuur Raad van Bestuur Sociale Verzekeringsbank (SVB) namens deze R.J. Barendse Lid Raad van Bestuur 2 Staatscourant 2014 nr. 15447 5 juni 2014 TOELICHTING Maatschappelijk, overheidsbreed en in de sociale zekerheid als onderdeel daarvan, nemen het belang en de afhankelijkheid van informatie, informatiestromen en de inzet van ICT toe. Het is daarbij belangrijk dat burgers erop kunnen vertrouwen dat de overheid zorgvuldig met gegevens omgaat en de continuïteit van de dienstverlening is geborgd. Inbreuken hierop ondermijnen de rechten van burgers voor bescherming van persoonsgegevens en het maatschappelijk vertrouwen in de overheid. Deze bestuurlijke verklaring legt vast op welke wijze het Uitvoeringsinstituut werknemersverzekeringen (UWV) en de Sociale verzekeringsbank (SVB) in overleg met het Ministerie van Sociale Zaken en Werkgelegenheid (SZW), waaronder UWV en SVB ressorteren, invulling geven aan artikel 41 lid 1 van de Kaderwet ZBO’s en artikel 76 van de wet SUWI. Beide artikelen stellen dat: – een zelfstandig bestuursorgaan (i.c. UWV, SVB) op de voet van de ter zake voor de Rijksdienst geldende voorschriften zorg draagt voor de nodige technische en organisatorische voorzieningen ter beveiliging van zijn gegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging en verstrekking van die gegevens. De bestuurlijke verklaring komt voort uit het streven om bij iedere overheidslaag de informatieveiligheid stevig te verankeren. De Taskforce Bestuur & Informatieveiligheid Dienstverlening heeft, voor de periode 2013-2014, opdracht van de minister van BZK om de verschillende overheidslagen daarbij te ondersteunen. Onder de term ‘verplichtende zelfregulering’ wordt daar in de verschillende overheidslagen vorm aan gegeven. De uitgangspunten bij verplichtende zelfregulering zijn: • overheidslagen en organisaties zijn zelf verantwoordelijk voor het sturen op informatieveiligheid; • een normatieve basis per organisatie en per overheidslaag conform ISO standaarden 27001 en 27002; • verantwoording over informatieveiligheid in het jaarverslag en • controle op informatieveiligheid (audit). Het doel van deze bestuurlijke verklaring is om aan te geven hoe de betrokken bestuurders hun verantwoordelijkheid voor informatieveiligheid invullen en uiting te geven aan het grote belang dat zij hechten aan informatieveiligheid. Hierbij verklaren UWV en SVB het Voorschrift Informatiebeveiliging Rijk (VIR) en de Baseline Informatiebeveiliging Rijk (BIR) te gaan toepassen. UWV en SVB beschikken al over een informatiebeveiligingsbeleid dat gebaseerd is op de hiervoor genoemde ISO-standaarden. Met de toepassing van VIR en BIR is een verdere kwaliteitsverbetering van de informatieveiligheid bij UWV en SVB beoogd. Een eenduidige normatiek door zbo’s en Rijk komt verder de dienstverlening ten goede, zeker wanneer in aanmerking wordt genomen dat die dienstverlening veelal in ketens van meerdere organisaties tot stand komt. Tot slot is toepassing van eenzelfde beveiligingsstandaard efficiënt en geeft het een kwaliteitsimpuls aan de verdere ontwikkeling van VIR en BIR. UWV en SVB schatten in dat ze 2 jaar doorlooptijd nodig hebben om te voldoen aan de eisen van VIR en BIR. Op basis van risicoafweging zullen zij daarbij de benodigde maatregelen betreffende informatieveiligheid en bescherming van persoonsgegevens prioriteren. In de SUWI-regelgeving is reeds geregeld dat UWV en SVB in het jaarverslag verantwoording over informatiebeveiliging aan de minister van SZW afleggen. Daarbij is ook geregeld dat deze verantwoording vergezeld gaat van een oordeel van een bij de beroepsvereniging NOREA geregistreerde IT-auditor. Deze verantwoording betrekt de minister van SZW in zijn goedkeuring van de jaarstukken. Voorliggende verklaring is tot stand gekomen in overleg met het Directoraat-generaal Organisatie en Bedrijfsvoering Rijk (DG OBR) van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), het ministerie van Sociale Zaken en Werkgelegenheid, SVB en UWV. Het Centrum voor Informatieveiligheid en Privacy (CIP) is als kennisplatform nauw betrokken om invulling te geven aan de toepassing van VIR en BIR en bij te dragen aan de verdere ontwikkeling daarvan. Het ministerie van SZW, UWV en SVB roepen andere departementen en zbo’s op om het voorbeeld te volgen en VIR en BIR te gaan toepassen. 3 Staatscourant 2014 nr. 15447 5 juni 2014
© Copyright 2024 ExpyDoc
