20 jaar veiligeelektronische gegevensuitwisseling

in de sociale sectormet respect voor

de persoonlijke levenssfeer

Frank RobbenAdministrateur-generaal

Kruispuntbank van de Sociale Zekerheid

2Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Kruispuntbankmodel organisatie van een goed beveiligde en efficiënte elektronische

gegevensuitwisseling en procesoptimalisatie tussen tal van autonome actoren

met respect voor hun autonomie en de hen toebedeelde opdrachten

zonder massale centrale opslag van persoonsgegevens met het oog op een geïntegreerde elektronische dienstverlening

die beantwoordt aan de verwachtingen van de gebruikers (burgers, ondernemingen, beroepsbeoefenaars, …)

op basis van gemeenschappelijke principes inzake- eenmalige inzameling en hergebruik van informatie- beheer van informatie- elektronische uitwisseling van informatie- beveiliging van informatie en bescherming van de persoonlijke

levenssfeer gecoördineerd, gestimuleerd en georganiseerd door een

dienstenintegrator met een kruispuntfunctie

3Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Verwachtingen gebruikers effectieve sociale bescherming degelijke ondersteuning van het sociaal beleid geïntegreerde diensten

- afgestemd op hun concrete situatie, waar mogelijk gepersonaliseerd- aangeboden bij evenementen die zich voordoen tijdens hun levenscyclus

(geboorte, school, werk, verhuis, ziekte, pensioen, overlijden, start van een onderneming, …)

- over overheidsniveaus, overheidsdiensten en private instanties heen (> 3.000 in sociale sector)

afgestemd op de eigen processen met een minimum aan kosten en administratieve formaliteiten zo mogelijk automatisch verstrekt met actieve inbreng van de gebruiker (zelfbediening - zelfsturing) performant en gebruiksvriendelijk aangeboden betrouwbaar, veilig en permanent beschikbaar via de kanalen van hun keuze (rechtstreeks contact, telefoon,

elektronisch, …) met respect voor de bescherming van de persoonlijke levenssfeer

4Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Netwerk van de sociale zekerheid

5Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Enkele beginselen en cijfers eenmalige inzameling van gegevens

- elke actor stelt de door hem bijgehouden gegevens ter beschikking (aanbodzijde)

- elke actor gebruikt deze gegevens indien nodig i.p.v. ze terug op te vragen bij de sociaal verzekerden of hun werkgevers (vraagzijde)

gedecentraliseerde en gedistribueerde opslag van gegevens- functionele taakverdeling

• opslag van gegevens wordt toevertrouwd aan de actor die ze in normale omstandigheden het meest nodig heeft

• deze actor is verplicht de gegevens kwaliteitsvol te beheren en ter beschikking te stellen van de andere actoren die ze nodig hebben

- voorbeelden• identificatiegegevens: Rijksregister / Kruispuntbankregisters• loon- en arbeidstijdgegevens: RSZ / RSZPPO / RSVZ

6Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Enkele beginselen en cijfers

uitwisseling van gegevens via de KSZ- mededelingen van gegevens door/aan actoren verlopen in

beginsel verplicht via de KSZ• op een beveiligde wijze• mits machtiging van het bevoegde sectoraal comité

- gebruik van verwijzingsrepertoria met “filterfunctie”• centraal verwijzingsrepertorium beheerd door de KSZ• bijzondere verwijzingsrepertoria beheerd binnen de secundaire

netwerken

enkele cijfers- 806 miljoen uitgewisselde elektronische berichten in 2009- aan de hand van 225 geoptimaliseerde elektronische

processen- met een structurele besparing van minstens 1,7 miljard € per

jaar aan administratieve formaliteiten (studie Planbureau)

7Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Verwijzingsrepertorium

bestaat uit drie gerelateerde tabellen- de wie-waar-hoe-wanneer-tabel (personenrepertorium)

• geeft aan welke personen in welke hoedanigheden dossiers bezitten bij welke actoren m.b.t. welke periodes

- de wat-waar-tabel (gegevensbeschikbaarheidstabel)• geeft aan welke soorten gegevens beschikbaar zijn bij de

onderscheiden soorten actoren m.b.t. de verschillende soorten dossiers

- de wie-krijgt-wat-tabel (toegangsmachtigingstabel)• geeft aan welke gegevens de onderscheiden soorten actoren mogen

verkrijgen m.b.t. de verschillende soorten dossiers

ondersteuning bij- routering van vragen om gegevens naar de juiste actoren- automatische mededeling van gegevens aan de actoren- kwaliteit van de gegevensuitwisseling- degelijke bescherming van de persoonlijke levenssfeer

8Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Verwijzingsrepertorium systematische toetsing van iedere elektronische gegevens-

uitwisseling op- juistheid van de identiteit van de persoon waarover gegevens

worden uitgewisseld

- naleving van de beginselen van doelbinding en evenredigheid en de bepalingen van de machtigingen van het sectoraal comité

anonimiteit van lidmaatschap van de sociaal verzekerde bij een meewerkende instelling van sociale zekerheid wordt gewaarborgd- voornamelijk lidmaatschap van een vakbond of een ziekenfonds

- de KSZ weet weliswaar dat over een sociaal verzekerde een dossier wordt beheerd binnen de sector in kwestie maar weet zelf niet bij welke vakbond of bij welk ziekenfonds de sociaal verzekerde is aangesloten

- enkel de beheersinstelling van de betrokken sector zelf is daarvan op de hoogte en kan instaan voor het doorsturen naar de bevoegde meewerkende instelling van sociale zekerheid

9Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer er is geen centrale gegevensopslag

persoonsgegevens worden slechts gebruikt voor doeleinden die verenigbaar zijn met de doeleinden waarvoor ze zijn ingezameld (doelbindingsbeginsel)

persoonsgegevens worden slechts verwerkt indien zij relevant en niet overmatig zijn voor de doeleinden van de verwerking (evenredigheidsbeginsel)

elke gebruiker heeft slechts toegang tot die persoonsgegevens die hij nodig heeft voor de toepassing van de regelgeving waarmee hij/zij is belast (evenredigheidsbeginsel)

10Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer

de machtiging voor de mededeling van persoons-gegevens aan andere actoren wordt, buiten de gevallen waarin ze wettelijk is toegestaan, verleend door een door het Parlement benoemd sectoraal comité van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL), nadat is vastgesteld dat aan de hoger vermelde voorwaarden is voldaan

de toegangsmachtigingen zijn publiek

11Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer

elke concrete elektronische uitwisseling van persoonsgegevens tussen actoren wordt preventief getoetst op conformiteit met de geldende toegangsmachtigingen door een andere instantie dan degene die de gegevens ter beschikking stelt of de gegevens nodig heeft, in casu de Kruispuntbank van de Sociale Zekerheid of de beheersinstelling van een secundair netwerk

elke elektronische uitwisseling van persoonsgegevens wordt gelogd om eventueel oneigenlijk gebruik ex post te kunnen traceren

12Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer

telkens de informatie wordt gebruikt voor een beslissing wordt aan de betrokkene de gebruikte informatie meegedeeld bij de mededeling van de beslissing

via stapsgewijze verfijning is een instelling-overkoepelend informatieveiligheidsbeleid uitgewerkt op basis van de ISO-normenreeks 27000

13Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer

de veiligheid, de integriteit en de vertrouwelijkheid van de verwerkte informatie wordt gewaarborgd door een geïntegreerd geheel van- structurele- organisatorische- ICT-technische- fysieke- personeelsgebonden

veiligheidsmaatregelen in uitvoering van het informatieveiligheidsbeleid

14Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer elke persoon heeft recht op toegang en, in geval de

gegevens onjuist zijn, op verbetering van zijn eigen persoonsgegevens

bij elke actor die deelneemt aan het elektronisch gegevensverkeer wordt een interne informatie-veiligheidsdienst ingericht met een adviserende, stimulerende, documenterende en intern controlerende functie

een werkgroep bestaande uit de informatieveiligheidsconsulenten stelt de informatieveiligheidspolicies voor, die worden goedgekeurd door het sectoraal comité

15Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bescherming persoonlijke levenssfeer

het sectoraal comité stelt minimale informatieveiligheidsnormen vast waaraan alle actoren in de sociale sector moeten voldoen

op basis van een jaarlijkse bevraging en, zo nodig, op basis van een controle, wordt door het sectoraal comité nagegaan of de onderscheiden actoren aan de minimale informatieveiligheidsnormen voldoen; indien dit niet het geval is, worden corrigerende acties afgesproken en opgevolgd

16Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Sectoraal comité sectoraal comité van de sociale zekerheid en van de

gezondheid voorheen “Toezichtscomité” onderdeel van de Commissie voor de Bescherming

van de Persoonlijke Levenssfeer door het Parlement benoemd belast met

- het formuleren van adviezen en aanbevelingen inzake informatieveiligheid en de bescherming van de persoonlijke levenssfeer

- het verstrekken van machtigingen tot mededeling van persoonsgegevens (machtigingen zijn publiek)

- het uitvoeren van externe controle inzake informatieveiligheid en de bescherming van de persoonlijke levenssfeer

- het behandelen van klachten

17Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bereikte voordelen grotere efficiëntie

- lagere lasten en kosten, bvb.• eenmalige inzameling van informatie aan de hand van geharmoniseerde

begrippen en instructies• zoveel mogelijk elektronische uitwisseling van gegevens van toepassing

tot toepassing, zonder manuele herinvoer• taakverdeling inzake validatie en beheer van informatie• minder onnodige contacten achteraf• samenwerking inzake de ontwikkeling van toepassingen (assemblage-

techniek) d.m.v. de beschikbaarheid van herbruikbare diensten en componenten

- meer diensten voor dezelfde totale kost, bvb.• alle diensten zijn beschikbaar op elk ogenblik, van om het even waar en

via om het even welk device• geïntegreerde dienstverlening

- snellere dienstverlening• vermindering van reis- en wachttijd• rechtstreekse interactie met de bevoegde actor• real time feedback voor de gebruiker

18Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Bereikte voordelen grotere effectiviteit

- hogere kwaliteit van de dienstverlening, bvb.• juistere dienstverlening• meer gepersonaliseerde dienstverlening• transparantere dienstverlening• veiligere dienstverlening met grotere bescherming van de persoonlijke

levenssfeer• mogelijkheid tot kwaliteitscontrole op het dienstverleningsproces door de

gebruiker, o.a. door de mogelijkheid tot elektronische raadpleging van de stand van zaken van het dienstverleningsproces

- minder fraudemogelijkheden- nieuwsoortige diensten, bvb.

• maximale automatische toekenning van rechten• automatische informatie over mogelijke rechten, die niet automatisch

kunnen worden toegekend• actief zoeken naar non-take-up via datawarehousingtechnieken• rechtstreekse controle over de eigen gegevens• gepersonaliseerde simulatie-omgevingen

19Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

United Nations Public Service Award

20Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

European Public Service Award

21Kruispuntbank van de Sociale Zekerheid 15 januari 2010

KSZ-BCSS

Meer informatie

website Kruispuntbank van de Sociale Zekerheid- http://www.ksz.fgov.be

portaal van de sociale zekerheid- https://www.socialsecurity.be

persoonlijke website van Frank Robben- http://www.law.kuleuven.be/icri/frobben