Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

ALLE MEDEWERKERS

Incident Een informatiebeveiligingsincident is- elke niet toegelaten toegang tot informatie (“confidentialiteit”)- elke niet toegelaten wijziging van informatie (“integriteit”)- elke verwerking van persoonsgegevens voor een doel dat niet ondersteund wordt door de wettelijke opdracht

van de stad of door een andere wettelijke grond (“doelgebondenheid”)- elke toevallige of ongeoorloofde vernietiging van informatie (“beschikbaarheid”)- elk toevallig of accidenteel verlies van informatie- elke situatie die tot een van de bovenstaande situaties kan leiden

Voorbeelden Voorbeelden van informatiebeveiligingsincidenten zijn:- een burger die toegang krijgt tot de dossiers van andere burgers door een onbewaakte computer in het

stadhuis- een burger die erin slaagt het advies van zijn subsidie-aanvraag of die van anderen te wijzigen van negatief

naar positief- de diefstal van elektronische identiteitskaarten en paspoorten- de diefstal van officiële stempels voor op documenten uit te vaardigen door de stad- de vaststelling dat informatie per e-mail per ongeluk naar de verkeerde bestemmeling is verstuurd- delen uit personeelsdossiers die zonder meer in het algemeen papierafval terecht komen- vragen van derden (incl. politie als dat niet langs de officële kanalen gebeurt) om lijsten van burgers die aan

bepaalde criteria voldoen, te bezorgen- een klacht van een burger over het (beweerdelijk) niet respecteren van zijn privacy door een medewerker van

de stad- een niet begeleid bezoeker in delen waar bezoekers niet (onbegeleid) horen te komen- een phishing email waarin een onbekende zich voordoet als een leverancier van de stad met de vraag om

toegangsgegevens tot de informatiesystemen van de te ontfutselen aan de medewerker van de stad- een phishing email waarin een onbekende zich voordoet als een medewerker van de stad om zo informatie

van de burgers te ontfutselen- het extranet van het rijksregister dat niet langer bereikbaar is- de website van de stad die niet langer bereikbaar is- een pop-up op het scherm van de medewerker van de stad dat aangeeft dat er malware (bijv. een virus) is

gedetecteerd op de computer van de medewerker- een pop-up op het scherm van de medewerker van de stad dat aangeeft dat de informatie op de computer van

de medewerker geëncrypteerd zou zijn en dat die encryptie enkel wordt opgeheven na het betalen van een geldsom (ransomware)

INFOCLASSIFICATIE : Intern 1

Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

Meldplicht Aan alle medewerkers wordt met aandrang gevraagd incidenten, in het bijzonder informatiebeveiligingsincidenten, die een dreigend gevaar vormen, te melden.Als het “enkel” gaat om een incident dat geen direct gevaar vormt, kan de medewerker het incident meteen aanpakken. Ook dan wordt gevraagd de feiten te melden al ware het maar om enige statistische informatie te kunnen opbouwen om beter prioriteiten te kunnen bepalen. Eventuele betrokken collega’s dienen in regel niet met name genoemd te worden.

De meldplicht bij incidenten is bevestigd in het arbeidsreglement (art. xxx).1

Melding De IT helpdesk is een algemeen kanaal van IT problemen, waar ook (minder dringende) informatiebeveiligingsincidenten kunnen worden gemeld of (zo de melder het niet als zodanig heeft (h)erkend) genoteerd.De DPO is altijd een mogelijk meldpunt voor informatiebeveiligingsincidenten, naast de eventuele andere kanalen die aan de medewerkers of derden worden geboden. Ook de leden van het informatiebeveiligingsteam kunnen m.b.t. informatiebeveiligings-incidenten aangesproken worden.

Direct reageren De medewerker die het (informatiebeveiligings)incident vaststelt, kan onmiddellijk reageren en pogen te beletten dat de “dader” ontkomt of dat (verdere) schade wordt aangebracht. Als hij het incident meldt, kan hij worden bijgestaan door de medewerkers van de dienst IT en/of het lid van het informatiebeveiligingsteam.

1 “(…) tekst in arbeidsreglement.”

INFOCLASSIFICATIE : Intern 2

Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

ESCALATIENIVEAU 1

Informatie verzamelen

De medewerkers van de dienst IT en/of de leden van het informatiebeveiligingsteam kunnen naar aanleiding van het (informatiebeveiligings)incident een onderzoek instellen. In dat kader kunnen ze alle informatie die ze nuttig achten opvragen.Medewerkers, incl. de medewerker die het (informatiebeveiligings)incident vaststelt, pogen zo te handelen dat het verzamelen van informatie m.b.t. het (informatiebeveiligings)incident niet wordt belemmerd. Het vermijden van schade aan personen krijgt evenwel voorrang op deze regel.

Reageren Na het verzamelen van informatie kan door medewerkers van de dienst IT en/of de leden van het informatiebeveiligingsteam verdere (re)actie worden ondernomen, al dan niet in afwachting van beslissingen op het niveau waarnaar werd geëscaleerd.

Escaleren De medewerkers van de dienst IT en/of de leden van het informatiebeveiligingsteam overwegen om een incident te escaleren:

- naar de DPO (als die nog niet betrokken is)- naar de stadssecretaris (als die nog niet betrokken is)

Zij moeten een incident (onmiddellijk) escaleren naar de DPO als- er meerdere entiteiten (bijv. meerdere steden en gemeenten) bij betrokken zijn of dreigen te worden- er een authentieke bron (bijv. het rijksregister, het DIV, de kruispuntbank sociale zekerheid, …) bij betrokken is

of dreigt te worden

INFOCLASSIFICATIE : Intern 3

Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

ESCALATIE NIVEAU 2

Reageren De DPO en de stadssecretaris (eventueel aangevuld met leden van het CBS) bespreken de verder te nemen acties om het (informatiebeveiligings)incident aan te pakken, zoals

- verder informatie (laten) verzamelen over het incident en/of periodieke updates vereisen- communicatie2

o naar de interne en/of externe medewerkerso naar de politie (loutere melding, indienen van een klacht,…)o naar de toezichthouders (CBPL3, VTC4,…)5

o naar de mogelijk in de toekomst betrokken partijen (andere steden en gemeenten,…)o naar de pers / het publiek

- het inschakelen van derden, zoals CERT.be6

- het bij hoogdringendheid inhuren van een firma om het forensisch onderzoek te voerenCoördinatie Als het incident tot op dit niveau wordt geëscaleerd, dan coördineert de DPO (of zijn aangestelde) de acties.

Als een incident gevolgen heeft buiten de stad, dan coördineert de DPO (of zijn aangestelde) de informatiedeling met de andere partijen.

Escaleren De DPO en/of de stadssecretaris overwegen – als er een politiek en/of reputationeel element aan het (informatiebeveiligings)incident is -

- naar de schepen verantwoordelijk voor informatica- naar de burgemeester- naar alle leden van het College voor Burgemeester en Schepenen

2 Communiceren of niet, wanneer communiceren, wat communiceren, via welk kanaal communiceren, toon van de communicatie,...3 commission@privacycommission.be - +32 (0)2 274 48 00 - https://www.privacycommission.be/nl/melding-gegevenslekken-algemeen (opladen van een formulier via een platform)4 toezichtcommissie@vlaanderen.be - +32 (0)2 553 50 475 Wordt een verplichting onder de Algemene Gegevensbeschermingsverordening (mei 2018), maar is vandaag al een aanbeveling van de CBPL (aanbeveling 01/2013).6 www.cert.be. - +32 (0)2 790 33 33 – cert@cert.be - https://cert.be/nl/een-incident-melden.html (inhoud van melding)

INFOCLASSIFICATIE : Intern 4

Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

AFSLUITEN Afsluiten Een geëscaleerd (informatiebeveiligings)incident wordt als afgesloten beschouwd als de DPO en de stadssecretaris

daartoe beslissen. Dit kan conditioneel. Altijd is de conditie ingesloten dat er uit een (informatiebeveiligings)incident lessen moeten worden getrokken, minstens door het op de volgende vergadering van het informatiebeveilingsteam te brengen.Het afsluiten van het (informatiebeveiligings)incident wordt gecommuniceerd aan alle partijen voor wie dat relevant is.

Lessen trekken Uit de belangrijke incidenten en de incidenten die (te) frequent voorkomen, worden door het informatiebeveilingsteam lessen getrokken. Dit kan zich vertalen in aanpassingen van de richtlijnen, versterking van de technische maatregelen, het invoeren van nieuwe maatregelen, etc.

INFOCLASSIFICATIE : Intern 5

Beleid informatiebeveiligingsincidentenv. 1.0 – (datum)

CONTACTLIJST INCIDENTEN

De helpdesk, de stadssecretaris en de DPO hebben de volgende contactlijst om te gebruiken in geval van incidenten:

Naam Functie Telefoon EmailInformatiebeveiligingsteam (email)

(naam) DPO / lid informatiebeveiligingsteam (telefoon) (email)(naam) Stadssecretaris / lid informatiebeveiligingsteam (telefoon) (email)(naam) (dienst) / lid informatiebeveiligingsteam (telefoon) (email)(naam) IT / lid informatiebeveiligingsteam (telefoon) (email)

(naam) Schepen verantwoordelijke voor informatica (telefoon) (email)(naam) Burgemeester (telefoon) (email)

CERT.be 02 790 33 33 cert@cert.beCBPL 02 274 48 00 commission@privacycommission.beVlaamse Toezichtscommissie 02 553 50 47 toezichtcommissie@vlaanderen.be

INFOCLASSIFICATIE : Intern 6