Webinar logging en rapportages
-
Nee, het is een informatieve vraag. Er bestaat nog geen relatie met de burger. Zie ook: https://vng.nl/files/vng/2017-08_vng_factsheet_suwinet_voor_gemeenten_v1.pdf
-
De auditor leest de conclusie en wil hierop een controle uitvoeren. Mogen hiervoor de generieke en specifieke rapportage overhandigd worden aan de auditor?
Indien dit tot de taak van de auditor behoort, dan mag dit. Zorg er wel voor dat u, als gemeente, heldere afspraken maakt rondom inzien, opslag, geheimhouding etc. De gemeente blijft verantwoordelijk voor de gegevens.
-
Het Specifiek Normenkader voor Afnemers geldt voor alle aansluitingen die een afnemende partij, zoals de gemeente, met Suwinet heeft. En daarmee geldt het ook voor RMC, GB en BZ.
NB in het Specifiek Normenkader voor Afnemers staat onder C.06 – Monitoring en Rapportage een voetnoot: “9 Uitgangspunt is dat de controle op de logging rapportages maandelijks plaatsvindt; in specifieke situaties kan hiervan worden afgeweken, hetgeen in dat geval in de verantwoordingsrapportage dient te worden toegelicht.”
-
Het wachtwoord wordt bijvoorbeeld niet automatisch toegestuurd aan een gebruiker en er is niet een automatische mogelijkheid een wachtwoord te wijzigen). Hier zit altijd een applicatiebeheerder tussen. Dit mag niet volgens de BIG. Wordt dit nog opgelost? Als deze norm sec gehanteerd wordt, is dit bij alle gemeenten een probleem.
BKWI voldoet op dit punt wel aan de BIG. Namelijk wanneer een medewerker een wachtwoord ontvangt via de gebruikersbeheerder, moet deze direct vervangen worden door een eigen verzonnen wachtwoord, anders kan de medewerker niet verder. Dit is conform de BIG (zie het tactisch document norm 11.2.3).
-
BKWI is de beheerder van het Suwinet en rapporteert over het gebruik, de inrichting van het gebruik van Suwinet en de duiding van deze rapportages zijn aan de gemeente(n) zelf. Veel gemeenten bieden hun medewerkers de mogelijkheid op een andere locatie te werken en dus kan dit buiten kantoortijden plaatsvinden. Het is aan gemeenten om deze mogelijkheid adequaat te beveiligen conform het Specifiek Normenkader voor afnemers en de BIG.
-
Als eerste kunt u een vergelijking maken tussen de BSN’s in de specifieke rapportage en uw eigen bestand. Het is aan de medewerker om in zo’n situatie aan te geven met welke reden het BSN is geraadpleegd. Zijn er BSN’s die niet in uw eigen bestand staan, dan is het aan de medewerker om aan te geven met welke reden het BSN is geraadpleegd. Het is dan van belang de tijd tussen raadpleging en controle zo kort mogelijk te houden.
-
De inspectie SZW gaf tijdens haar onderzoek aan dat het minimum twee specifieke rapportages per jaar is. En geldt dit ook voor de andere aansluitingen zoals RMC, Burgerzaken en Gemeentelijke Belastingdeurwaarders?
Het Specifieke Normenkader geeft niet een nadrukkelijk minimum aan, anders dan de verwijzing periodiek de logging te controleren. U bepaalt zelf wat minimaal nodig is. Het is raadzaam dit op te nemen in uw aansluitbeleid c.q. beveiligingsbeleid. Suggesties zijn terug te vinden in de presentatie van de webinar: www.vng.nl/veiliggebruiksuwinet
-
Nee, er wordt geen onderscheid gemaakt. Oneigenlijk gebruik voor bijvoorbeeld WMO of schuldhulpverlening is nog steeds oneigenlijk gebruik en is net zo goed niet toegestaan. Mogelijk maken gemeenten verschil in de strafmaat, gerelateerd aan de ernst van het oneigenlijk gebruik. Het is aan te raden het beleid bij oneigenlijk gebruik goed te communiceren zodat medewerkers weten welke risico’s zij lopen.
-
Nee dat is niet mogelijk. De gebruiker is door de gemeente te identificeren aan zijn accountnaam. Welke rol die gebruiker heeft, is bekend bij de gemeente.
-
Dank voor deze goede suggestie. Wij voeren binnenkort enkele verbeterslagen door in de rapportages en dan bekijken wij wat mogelijk is met betrekking tot het lettertype van de generieke rapportage. Wij hopen in Q1 2018 de verbeterde rapportage op te kunnen leveren.
-
Hierin is nu niet voorzien, aangezien BKWI dergelijke gegevens niet mag vasthouden en er bij de bouw derhalve geen rekening is gehouden. Aangezien deze vraag vaker aan de orde is gekomen, gaan wij met een expertgroep bespreken wat de mogelijkheden zijn. Dat impliceert namelijk dat het BKWI dan tekst opslaat. Het is de vraag of dit juridisch mogelijk is. En als dit mogelijk is, heeft het een grote technische impact hebben (o.a. bouw van een databestand). Dit levert vervolgens een financieringsvraag op. De besluitvorming hierover neemt enige tijd in beslag.
-
Dat hangt af van de afspraak met de deelnemende gemeenten. Beide opties zijn mogelijk en de keuze zal doorgaans afhangen van o.a. efficiency aan de zijde van het samenwerkingsverband of juist het kunnen combineren van meerdere audits door de gemeente zelf. Wel blijven de afzonderlijke gemeenten verantwoordelijk dus als een samenwerkingsverband zelf een IT auditor heeft dan zal de audit alsnog (zoveel keer gekopieerd) naar de afzonderlijke gemeente gestuurd moeten worden en zullen in de Ensia zelfevaluatie de vragen door de gemeenten moeten worden ingevuld.