INFORMATIEVEILIGHEID

OMDAT HET KAN

Informatie heeft waarde

Waardevolle informatie moet we veilig stellen

Informatie heeft vaak een bepaalde gevoeligheid

Daarnaast moeten we ook de privacy beschermen

We hebben dus een aanpak nodig om informatie te beschermen

Kernvragen:

Waarom hebben we informatiebeveiliging nodig?

Wat is de waarde van informatie? Geldelijke waarde

Aantrekkelijk voor anderen (insiders of outsiders met goede en kwade bedoelingen)

Nut voor u en nuttig voor anderen

Kwaliteit & tijdigheid zijn vaak van groot belang

Tenslotte is er ook de (potentile) schade als gevolg van verkeerd gebruik of

compromitteren van informatie

Basisstelling:

Informatiebeveiliging is in essentie balans

Er is een relatie tussen

gebruiksgemak en beveiliging

Als de beveiliging toeneemt,

neemt het gebruiksgemak af

Informatieveiligheid organisatorisch kader

Richtsnoeren informatiebeveiliging van persoonsgegevens v 3.0

(oorsprong: oprichting KSZ met als toezichthouder POD-MI)

Vandaag van toepassing bij verwerking vertrouwelijke persoonsgegevens binnen:

1- sociale context (OCMW) als

2- niet-sociale context (Gemeente)

Toepassingsgebied?

Steden en gemeenten

Binnen instellingen die deel uitmaken van het netwerk dat

beheerd wordt door de kruispuntbank van de sociale zekerheid

Uiteraard ook bij integratie van gemeente en OCMW (inkanteling)

De Richtsnoeren vormen een leidraad voor het implementeren van de

ISMS-beheerscyclus (Information Security Management System) die de

kwaliteit van het informatieveiligheidsproces op langere termijn beoogt

te borgen en te verbeteren.

GEMEENTE - OCMW

INFORMATIEVEILIGHEID

In n bad?

Minimale veiligheidsmaatregelen

gelden voor gemeente en OCMW?

De OCMW behoren tot het netwerk van de

sociale zekerheid en moeten voldoen aan

de minimale veiligheidsmaatregelen die zijn

opgelegd door de Kruispuntbank van de Sociale

Zekerheid (KSZ). Daarnaast zijn door de

KSZ richtlijnen opgesteld met door iedere

instelling na te streven

veiligheidsdoeleindenm.b.t. alle domeinen van

de informatieveiligheid.

http://www.ksz.fgov.be/binaries/documentation/nl/securite/minimale_veiligheidsnormen.pdfhttp://www.ksz.fgov.be/binaries/documentation/nl/securite/richtlijnen.pdf

Minimale veiligheidsmaatregelen

gelden voor gemeente en OCMW?

De gemeenten behoren niet tot het netwerk van de

sociale zekerheid.

Omdat de samenwerking tussen gemeente en OCMW

steeds nauwer wordt, is het de bedoeling om het

veiligheidsniveau van de gemeente op te tillen naar het

niveau van het OCMW.

Dergelijk proces vraagt tijd en inspanning.

Eenvormige richtsnoeren informatieveiligheid die gelden

voor zowel OCMW als gemeente in Vlaanderen,

gebaseerd op de minimale veiligheidsnormen van de

KSZ.

http://vtc.corve.be/docs/VTC_Informatieveiligheid_Steden en gemeenten_v 2 0.docx

Gemeente en OCMW als n entiteit

het lokaal bestuur?

Gemeente en OCMW zijn afzonderlijke entiteiten

en hebben elk hun specifieke finaliteiten.

Daardoor worden zij door de wet van 8

december 1992 tot bescherming van de

persoonlijke levenssfeer ten opzichte van de

verwerking van persoonsgegevens, beschouwd

als verschillende verantwoordelijken voor de

verwerking.

Gebruik en de machtigingen

Privacy Wetgeving & ISO 2700X

Kruispuntbank

Sociale ZekerheidRijksregister

Minimale Normen

KSZ

Richtsnoeren Informatieveiligheid

POD-MI VTC

OCMW Gemeente

MachtigingMachtiging

Consulent

Cel

Consulent

Cel

Wie moet een

informatieveiligheidsconsulent aanstellen?

De verplichting tot het aanstellen ve

veiligheidsconsulent wordt in artikel 9 van het

decreet van 18 juli 2008 betreffende het

elektronische bestuurlijke gegevensverkeer (e-

Gov decreet), vastgelegd voor elke instantie die:

- persoonsgegevens verwerkt,

- authentieke gegevensbron beheert,

- tussenkomt bij mededeling v persoonsgegevens,

- ondersteunt bij gebruikers- en toegangsbeheer.

Welke zijn de opdrachten en de rol

van een veiligheidsconsulent?

Over het algemeen heeft de dienst belast met de

informatieveiligheid een adviserende, stimulerende,

documenterende en controlerende opdracht inzake

informatieveiligheid.

De veiligheidsconsulent adviseert de verantwoordelijke

voor het dagelijks bestuur van zijn instelling, op diens

verzoek of op eigen initiatief, omtrent alle aspecten van

de informatieveiligheid.

Het advies wordt schriftelijk en gemotiveerd uitgebracht,

tenzij de risico's niet voldoende ernstig zijn.

Gemeente en OCMW

n gemeenschappelijke netwerk?

Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke

finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk

verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij

een gemeenschappelijk netwerk delen, maar er moeten voldoende

veiligheidsmaatregelen genomen worden:

1. toegang d.m.v. paswoord;

2. een lijst van gemachtigden van de gemeente en een lijst van

gemachtigden van OCMW;

3. toegang voor de gemachtigden van de gemeente moet beperkt

worden tot de finaliteiten van de gemeente, toegang voor de

gemachtigde van het OCMW moet beperkt worden tot de finaliteiten

van het OCMW;

4. bijhouden van loggings.

Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid

willen uitbouwen, is een samenwerkingsakkoord tussen beiden

vereist.

Gemeente en OCMW

persoonsgegevens uitwisselen?

Zij zijn dus elk verantwoordelijke voor de

verwerking van persoonsgegevens.

Als zij onderling persoonsgegevens willen

uitwisselen, moet voor de elektronische

uitwisseling vooraf een machtiging worden

gevraagd.

Gemeente en OCMW eenzelfde

informatieveiligheidsconsulent?

Ja. Deze persoon zal wel 2 verschillende

veiligheidsplannen moeten opmaken, een voor

de gemeente en een voor het OCMW.

Meer informatie omtrent het optreden van een

veiligheidsconsulent voor gemeente en OCMW

vindt u op de website van de Kruispuntbank van

de Sociale Zekerheid (KSZ).

Bijkomende informatie vindt u in de rubriek FAQ

veiligheid en privacy op de website van de KSZ.

http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_07.html

Managementsamenvatting

1. Wettelijke basis richtsnoeren Bescherming persoonsgegevens, sociale en medische gegevens

Privacy (uniek identificeerbaar)

Verplichting informatieveiligheidsconsulent

Meldingsplicht VTC / KSZ

Collectieve informatieveiligheidsconsulent

Ja dit kan maar

2. De richtsnoeren (website VTC)

3. Veiligheidscel

Minimale samenstelling

Gewenst (zie dashboard)

4. Veiligheidsplan

Risico analyse

Actieplan / uitvoering

ISO 27002 2013 norm / Richtsnoeren v3

1. Risicobeoordeling

2. Algemeen beveiligingsbeleid (security policy)

3. Organisatie van informatieveiligheid

4. Personeelsbeleid

5. Beheer van bedrijfsmiddelen

6. Toegang tot Persoonsgegevens

7. Cryptografie

8. Fysieke beveiliging (beveiliging omgeving)

9. Operationele beveiliging (beveiliging bedrijfsactiviteiten)

10. Communicatie beveiliging (netwerk en informatietransport)

11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud)

12. Beheer van leveranciersrelaties

13. Informatiebeveiligingsincidenten (incident management)

14. Bedrijfscontinuteit (calamiteiten)

15. Naleving (compliance)

Tool

https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf

v3 = 15 domeinen (controls)

Organisatie

Ingredinten

informatie-

veiligheid

Machtigingen

Sociale

Gegevens

Wetgeving

Dagelijks

beleid

Persoons-

gegevens

Veiligheids-

consulent

Veiligheids-

plan

Interne

Veiligheids-

cel of Team

Informatie-

veiligheidscel

Verantw.

Toegangen

Informatie

Veiligheids-

consulent

Interne

Veiligheids-

cel of Team

Preventie-

adviseur

Dagelijks

Bestuur

ICT Verantwoordelijke

HRM Verantwoordelijke

Planning

Opvolging en controle

Veiligheidsplan

Informatieveiligheidsplan

Risico assessment

Acties tav de richtsnoeren (meerjarenplanning)

Jaarlijks verslag

Externe audit (3 jaren)

Behoefte Aanbod

Regelgeving

(kader)Dreiging

Omgevingsanalyse

Omgevingsanalyse

Behoefte Aanbod

Dreiging

Regelgeving

Gemeente-

personeel

ISO 27002 2013 norm / Richtsnoeren v3

Strategisch

Risicobeoordeling

Beveiligingsbeleid

Organisatie

Operationeel

Personeel

Bedrijfsmiddelen

Persoonsgegevens

Cryptografie

Fysieke

Operationeel

Communicatie

Informatiesystemen

Leveranciersrelatie