Frank Robben Administrateur-generaal van het eHealth-platform Willebroekkaai 38 B-1000 Brussel
Frank Robben
description
Transcript of Frank Robben
Hoe elektronische samenwerking
tussen gemeente en OCMWqua privacybescherming
correct organiseren ?
Informatiesessies voorsteden, gemeenten en
OCMW’sMaart 2011
Frank Robben
Dienstenintegratoren
• documentatie• CBPL-aanbeveling nr. 01/2008 (24/09/08)
http://www.privacycommission.be/nl/docs/ Commission/2008/aanbeveling_01_2008.pdf
• CBPL-aanbeveling nr. 03/2009 (01/07/09) http://www.privacycommission.be/nl/docs/ Commission/2009/aanbeveling_03_2009.pdf
• CBPL-aanbeveling nr. 03/2010 (09/06/10) http://www.privacycommission.be/nl/docs/ Commission/2010/aanbeveling_03_2010.pdf
24/04/232
Dienstenintegratoren
• probleemstelling• voor het verrichten van hun taken hebben overheden
persoonsgegevens uit diverse bronnen nodig• het structureel samenbrengen ervan houdt risico’s
voor de persoonlijke levenssfeer in• => pleidooi voor dienstenintegratie
• de nodige persoonsgegevens worden enkel tijdelijk samengebracht wanneer de dienst opgeroepen wordt
• de onnodige circulatie van kopieën van de persoonsgegevens in kwestie wordt vermeden
24/04/233
Dienstenintegratoren
• Trusted Third Party (TTP)• dienstenintegrator treedt op als een “vertrouwde
onafhankelijke partij”• heeft zelf geen taken inzake de inhoudelijke verwerking
van de persoonsgegevens• brengt de persoonsgegevens enkel tijdelijk samen ten
behoeve van derden• met naleving Wet Verwerking Persoonsgegevens• met naleving machtigingen sectorale comités of VTC
• de gebruiker moet de diverse authentieke bronnen niet zelf afzonderlijk aanspreken
24/04/234
Dienstenintegratoren
• principe van “cirkels van vertrouwen”• samenwerking en taakverdeling tussen de betrokken
partijen omtrent• wie wat controleert vooraleer toegang wordt verleend• wie wat logt
• hele keten moet achteraf kunnen worden getraceerd• aandacht voor veiligheid
• structurele en organisatorische maatregelen• juridische maatregelen• technische en fysieke maatregelen
24/04/235
Dienstenintegratoren
• elke groep van gebruikers richt zich slechts tot één dienstenintegrator• één technisch platform• één systeem van gebruikers- en toegangsbeheer
voor• alle gebruikers van die groep• al hun toegangen tot elektronische toepassingen
• één set van minimale veiligheidsregels
24/04/236
Dienstenintegratoren
• anders risico’s voor informatieveiligheid• door het beheer van dezelfde gebruikers in
meerdere systemen• door de splitsing van de autorisaties over meerdere
systemen• door risico van “shopping” naar systeem dat de
laagste veiligheidsnormen hanteert => nivellering van de informatieveiligheid naar beneden in plaats van naar boven
24/04/237
24/04/238
Dienstenintegratoren
Internet
FEDMAN
Dienstenrepository
FOD
POD
FOD
ISZ
ISZ
Dienstenrepository
ISZ
dienstG&G
dienstG&G
Dienstenrepository
Dienstenintegrator(eHealth-platform)
Zorgverlener
Zorginstelling
Dienstenrepository
Dienstenintegrator(FEDICT)
Dienstenintegrator
(KSZ)
Dienstenintegrator
Extranetgewest of
gemeenschap
VPN
Extranetsociale
zekerheid
Opdrachten dienstenintegrator
• rol van dienstenintegrator• gemeenschappelijke visie• motor en beheerder van veranderingen• goede architectuur• beheerder van een beveiligd samenwerkingsplatform• optimalisatie van processen met lateraal denken• standaarden• actoroverschrijdend programmamanagement• actoroverschrijdend projectmanagement• vorming en coaching
24/04/239
OCMW’s• behoren tot het netwerk van de sociale zekerheid
• art. 2 KSZ-wet (maatschappelijke integratie)• art. 1 KB 04/03/05 (maatschappelijke dienstverlening)
• gevolgen• KSZ treedt op als enige dienstenintegrator bij mededelingen
door en aan OCMW’s• mededeling van persoonsgegevens door OCMW’s vergt
voorafgaande machtiging van het sectoraal comité van de sociale zekerheid en van de gezondheid
• de minimale veiligheidsnormen van de sociale zekerheid zijn van toepassing
24/04/2310
Gemeenten
• Vlaamse gemeenten zullen allicht gaan behoren tot het netwerk van de Vlaamse dienstenintegrator
• decretale basis voor Vlaamse dienstenintegrator is in de maak
• gevolgen• Vlaamse dienstenintegrator wordt enige dienstenintegrator voor
Vlaamse gemeenten• mededeling van persoonsgegevens door gemeenten vergt
voorafgaande machtiging van de VTC• de gemeenschappelijke minimale veiligheidsnormen van CBPL en
VTC zijn van toepassing (minder verregaand dan voor OCMW’s)
24/04/2311
Door sectoraal comité of VTC te toetsen criteria• rechtmatigheid
• het sectoraal comité moet rekening houden met de regelgeving waarop de mededeling gesteund wordt, ongeacht het bevoegdheidsniveau
• finaliteit en proportionaliteit• voor welk doeleinde worden de persoonsgegevens
meegedeeld?• zijn de persoonsgegevens, uitgaande van dat
doeleinde, ter zake dienend en niet overmatig?• veiligheid
24/04/2312
OCMW’s & gemeenten wensen samen te werken• samenwerking leidt tot
• betere en geïntegreerde dienstverlening aan de burger• grotere efficiëntie en effectiviteit voor de betrokken
partijen
• op basis van• gedeelde infrastructuur• gedeelde personeelsleden• dezelfde fysische netwerkverbindingen met de
buitenwereld
24/04/2313
Voorwaarden voor samenwerking
• gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking =>• elk eigen finaliteiten• elk eigen informatieveiligheidsbeleid• bij toegang tot gegevens moet kunnen worden
onderscheiden of het geschiedt in naam van de gemeente of van het OCMW• als eindgebruikerstoepassing -> authenticatie van
gebruiker via gebruikers- en toegangsbeheer• als van toepassing tot toepassing -> authenticatie van de
toepassing
24/04/2314
Voorwaarden voor samenwerking
• gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking =>• onderscheid tussen rol als
• veiligheidsbeheerder en veiligheidsconsulent voor gemeente, aangeduid door wettelijke vertegenwoordiger van gemeente
• veiligheidsbeheerder en veiligheidsconsulent voor OCMW, aangeduid door wettelijke vertegenwoordiger van OCMW
• maar kan zelfde persoon zijn• zeker indien zelfde persoon, verwachting van nivellering van
veiligheidsbeleid naar boven en niet naar beneden: gemeenten spiegelen zich aan hoger niveau bij OCMW’s, niet omgekeerd
24/04/2315
Voorwaarden voor samenwerking
• voor elke gebruiker onderscheiden toegangsrechten tot persoonsgegevens in functie van rol bij gemeente en/of OCMW
• gemeente en OCMW zijn twee onderscheiden verantwoordelijken van de verwerking =>• een machtiging is nodig voor de uitwisseling van
persoonsgegevens tussen de gemeente en het OCMW
24/04/2316
Uitdaging dienstenintegratoren
• interoperabel gebruikers- en toegangsbeheer
• gemeenschappelijke standaarden• webservices• veiligheid
• goede onderlinge coördinatie van businessprocessen
• voorbereiden van machtigingsaanvragen
24/04/2317
Dank u !Vragen ?
24/04/2318