Organisatorische gevolgen van de privacywetgeving Beleidsdomein Financiën en Begroting.
Transcript of Organisatorische gevolgen van de privacywetgeving Beleidsdomein Financiën en Begroting.
Organisatorische gevolgen van de privacywetgeving
Beleidsdomein Financiën en Begroting
- Referentiedatabank- koppeling persoonsgegevens aan
informatie van authentieke bronnen- Informatie verrijkt met belastinggegevens
van burgers en rechtspersonen- Gebruik:
- Vlaams Fiscaal platform- Inspectie RWO- Wonen- O&V (Studietoelagen)
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Vlaams Fiscaal Platform: betrokken partij
Op welke gegevens is de privacywetgeving van toepassing?
De 3 criteria inzake goedkeuring en opgelegde beveiligingseisen
Organisatorische maatregelen Hoe om te gaan met deze data voor andere
doeleinden (finaliteit)?
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Agenda
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Authentieke bronnen met persoonsgegevens (rechtspersonen en natuurlijke personen)en zeker met Rijksregisternummer (natuurlijke personen) KBO nummer (KBO nummer)
Elke zelf samengestelde set data die persoonsgegevens bevat; Bijvoorbeeld: Adressenlijst van klanten, leden, abonnementen Stakeholders databank (ARA)
Maatregelen: Personen in kennis stellen van het aanmaken van de set Personen in kennis stellen van de data binnen de set Personen de mogelijkheid bieden de data te verbeteren
Welke data?
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
De data Het proces (finaliteit) De derde partij (technisch aanleverende organisatie) Inclusief
Security officer Veiligheidsconsulent
Indienen bij: Privacy commissie Sectorale comités
De drie criteria voor de verwerking van persoonsgebonden authentieke bronnen
Beleid (aanscherping VO veiligheidsbeleid) ISO2700x
Organisatie Security office, veiligheidsconsulent Functiescheiding Security awareness
Technisch O.a. Fysieke beveiliging, authenticatie,
scheiding omgevingen etc.Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Maatregelen
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Toename van risico’s inzake security Toename van informatie die aan natuurlijke personen
wordt gekoppeld Sterke groei van de organisatie
Interne “kwaadwilligen” Uitbreiding en promotie van Internet diensten
Externe “kwaadwilligen”
Vereist Cultuuromslag Verscherping van de beveiligingsmaatregelen
Bewustzijn bij alle betrokkenen Aansprakelijkheid
Charter informatiebeveiliging
Awareness
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Voorbeelden Indicatoren Simulaties Testdata
Akties Primaire depersonalisering Secundaire controle naar depersonaliseringsgraad in het
kader van de selectie,Bijvoorbeeld: Functie: ICT manager Organisatie: Financiën en Begroting
Gebruik voor andere doeleinden dan de aangevraagde processen (finaliteit)
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Wanneer komen ze? Een klacht van een burger of rechtspersoon
Wat wordt verlangd? Loggingsdata en toegangsdata aangaande het
gebruik van de persoonsgegevens van de klager: Wanneer, wat, door wie, waarom
Privacycommisie
Terughoudendheid mbt cloud technologie Eigen F&B datacenters
Gezonde balans Gebruikersvriendelijkheid Beveiligingsniveau
Aanpak bescherming van persoonsgegevens, o.a. door Strikte scheiding van interne en externe netwerken Toegangscontrale (identificatie/authenticatie)
EID, token of smartcard vereist voor alle partijen Aanvullende beveiliging gebruikersnetwerk (NAC)
Monitoring/rapportering Toezicht veiligheidsconsulent Logging
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Strategie (technisch)
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Interne organisatie Gebrek aan awareness Geen aandacht voor juiste proportionaliteit
“de persoonsgegevens moeten, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig zijn”
Informatiebeveiliging wordt beschouwd als overhead
Relatie derde partijen Positionering/mandaat Security Office
Procedures Functiescheiding Reductie van gebruikersrechten (ontneming status?)
Valkuilen bij het nemen van de maatregelen
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Externe dienstverleners Geen proactieve sturing of ondersteuning van
de klant Sabotage van en blokkeren van security regels
naar zichzelf Signalering/rapportering van beveiligingslekken
Competenties op het gebied van informatiebeveiliging ondermaats
Functiescheiding
Valkuilen bij het nemen van de maatregelen
Technische issues Evenwicht Beveiligingsniveau Kosten
Overhead Investeringen security maatregelen
Effectieve registratie van bevraging persoonsgegevens (logging) Forensics
Beveiligingsmaatregelen tegen hackers Monitoring
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Valkuilen bij het nemen van de maatregelen
Netwerk organisatiebeheersing : Organisatorische gevolgen van de privacywetgeving
Maatregelen ter bescherming ten opzichte van de buitenwereld Een volledige scheiding tussen de data en het internet Het asynchroon verlopen van de opvragingen Frequent worden er zelf hacker-testen uitgevoerd;
Maatregelen tegen de risico’s van binnenuit De eigen medewerkers en de externen die in dienst zijn, zijn
onderworpen aan een specifieke gedragscode inzake privacy data en kunnen enkel met pc’s van de overheid op het intern netwerk worden aangesloten
Alle toegangen verlopen via het Eid Alle opvragingen van persoonsgegevens worden gelogd;
Maatregelen tegen de risico’s van het gebruik van persoonlijke data Wanneer de data nodig zijn voor andere doelen dan dossiers (bvb.:
rapporten, statistieken) worden de gegevens waar mogelijk gedepersonaliseerd.
Maatregelen tegen datalekken