Vlaamse Toezichtcommissie

voor hetelektronische bestuurlijke gegevensverkeer

SHOPT-IT 2015Organisatie Informatieveiligheid

Mogelijkheden voor lokale besturen

Anne Teughels & Caroline Vernaillen

30 april 2015

• Waarom informatieveiligheid

• Hoe informatieveiligheid

• Aandachtspunten

Vlaamse Toezichtcommissie2

Informatieveiligheid

OVERZICHT

• Omdat het moet

• Omdat behoorlijk bestuur vraagt dat u

zorgvuldig omgaat met de gegevens

van uw burgers

• Omdat u bepaalde situaties wil

vermijden…

Vlaamse Toezichtcommissie3

Informatieveiligheid

WAAROM

“NMBS heeft een groter

probleem dan het denkt

De gegevens van 1,5 miljoen NMBS-klanten

zijn gelekt. En dat is een veel groter probleem

dan wij denken.

Dat dit zomaar kon gebeuren is al

bedroevend. Maar de manier waarop

de NMBS met deze situatie omgaat is

nóg bedroevender.

De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen….”

Bron: http://samfeys.be/nmbs-heeft-een-groter-probleem-dan-het-denkt/

Zie ook: http://datanews.knack.be/ict/nieuws/nmbs-lek-naar-justitie/article-4000229416512.htm

Vlaamse Toezichtcommissie4

Informatieveiligheid

WAAROM

Vlaamse Toezichtcommissie 5

http://datanews.knack.be/ict/nieuws/buitenlandse-zaken-gehackt-met-spionagevirus-snake/article-4000621519289.htm

http://ikgabouwen.knack.be/bouwen-renovatie/nieuws/certificatendatabank-vreg-opnieuw-online/article-4000221247672.htm

http://www.computerweekly.com/news/2240084015/UK-government-loses-data-on-25-million-Britons

http://news.cnet.com/U.K.-government-loses-pensioner-data/2100-1029_3-6223493.html

http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html

http://frontpage.fok.nl/nieuws/214628/1/1/50/franse-overheid-gehackt.html

Informatieveiligheid

als deel van

organisatiebeheersing

Vlaamse Toezichtcommissie7

Informatieveiligheid

HOE

Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden:

• Organisatiebeheersing is ingebouwd in de processen en loopt continu. “Privacy by design”

• Organisatiebeheersing is een zaak van iedereen. Niet alleen de IT-dienst!!

• Organisatiebeheersing verschaft redelijke zekerheid.

Vlaamse Toezichtcommissie8

Organisatiebeheersing

en informatieveiligheid

HOE

Vlaamse Toezichtcommissie9

Organisatiebeheersing

en informatieveiligheid

HOE

ICT-beveiliging is het geheel van maatregelen

(voorschriften, processen, activiteiten,…)

dat ervoor zorgt dat informatiesystemen

(bedrijfs- en bestuursprocessen)

een optimale bescherming genieten

(rekening houdend met het kosten-baten principe)

op het vlak van :

Vertrouwelijkheid

Privacy

Integriteit

Beschikbaarheid (BCM !)

Vlaamse Toezichtcommissie10

Organisatiebeheersing

en informatieveiligheid

Bescherming van persoonsgegevens

geldt in meeste domeinen

organisatiebeheersing

• HR: personeelsgegevens!

• Communicatie: klantengegevens, cookies, sociale

media, …

• Facilitair: gebouwinfrastructuur, toegang, bewaking

• Cultuur: deontologie, awareness, sociale media

• ICT: natuurlijk

Vlaamse Toezichtcommissie11

Organisatiebeheersing

en informatieveiligheid

Handleiding Cybersecurity

Belgische Gids voor Cyberveiligheid

De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan

zeker ook zijn nut bewijzen in een overheidscontext. Het is een

technologieneutrale en beknopte handleiding die verhelderend wil zijn voor

het management en die zo ook bruikbaar is voor de

informatieveiligheidsconsulent.

Vlaamse Toezichtcommissie12

Organisatiebeheersing

en informatieveiligheid

Belangrijke rol: veiligheidsconsulent

Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie

die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst eenveiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. (art. 9 e-govdecreet)

veiligheidsconsulent

Vlaamse Toezichtcommissie14

Verplichtingen ivm veiligheidsconsulent

art. 9 e-govdecreet

o advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid;

o onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur;

o kennis over informatieveiligheid en informaticaomgeving van de instantie;

o voldoende tijdsbesteding;

o geen onverenigbaarheid

http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf

http://vtc.corve.be/docs/Toelichting_evaluatievragenlijst_kandidaat-veiligheidsconsulent_VTC.docx

veiligheidsconsulent

Vlaamse Toezichtcommissie15

Taken Veiligheidsconsulent o advies en aanbevelingen omtrent de uitvoering

van het veiligheidsbeleid;

→ goede werking van informatiesystemen

→ privacy van de betrokkenen

Opstellen van een informatieveiligheidsplan

veiligheidsconsulent

Vlaamse Toezichtcommissie16

Veiligheidsconsulent o onder rechtstreeks gezag van verantwoordelijke

voor dagelijks bestuur

→ De verantwoordelijkheid voor de bepaling en de

uitvoering van het veiligheidsbeleid ligt bij de

verantwoordelijke voor het dagelijks bestuur.

veiligheidsconsulent

Vlaamse Toezichtcommissie17

Kwalificaties Veiligheidsconsulento kennis over informatieveiligheid en

informaticaomgeving van de instantie;

→ diploma informatica is niet vereist

→ wel voldoende kennis inzake

- informatica

- informatieveiligheid

- wetgeving

door opleiding, ervaring, conferentie, studiedagen, …

veiligheidsconsulent

Vlaamse Toezichtcommissie18

Tijdsbesteding Veiligheidsconsulent o voldoende tijdsbesteding:

→ minimaal 4 uur/week

afwijkingen dienen goed gemotiveerd

→ samenwerking gemeente – OCMW (één

infrastructuur) eenzelfde consulent voor beide

organisaties: totaal van 6 uur/week (4u + 2u)

veiligheidsconsulent

Vlaamse Toezichtcommissie19

Functie Veiligheidsconsulento geen onverenigbaarheid→ geen exhaustieve lijst van functies die onverenigbaar zijn→ ONAFHANKELIJK van dagelijks bestuur, dus geen hoofd van de informaticadienst, coördinator informatisering, hoofd van de personeelsdienst, …

→ niet de dienstenleverancier (bijstand wel mogelijk)

veiligheidsconsulent

Vlaamse Toezichtcommissie20

Veiligheidsconsulent: mogelijkheden voor lokale overhedeno Intern of externo Per stad of gemeente (nodige aantal uren per week)o Delen:

• tussen gemeenten en steden (cf. opdrachtencentrale stad Tienen (VERA))

• met OCMW (ook verschillende welzijnskoepels)• met provincie (cf. PIVA ICT Oost-Vlaanderen)

• …o Ondersteunen:

• V-ICT-OR (tool & pool + opleidingen)• Centrumsteden• Provincie• VVSG (zie randnummer 54 van de machtiging niet-inwoners)• …

Informatieveiligheid

Vlaamse Toezichtcommissie21

Bij wie aanstelling meldenAlhoewel het een bestuur vrijstaat om te kiezen waar

de aanmelding van de veiligheidsconsulent gebeurt,

is het aangewezen dat de Vlaamse lokale besturen

dat bij de Vlaamse Toezichtcommissie (VTC) doen: toelichting + evaluatievragenlijst kandidaat-veiligheidsconsulenten VTC

Overzicht VTC gemeenten met

veiligheidsconsulentenhttp://vtc.corve.be/overzicht.php

Informatieveiligheid

Vlaamse Toezichtcommissie22

Overzicht gemeenten met veiligheidsconsulento Groen

• VTC een positief advies

• Recent een advies werd gevraagd bij VTC, maar nog geen uitspraak.

• Geen onderscheid tussen al dan niet voorwaardelijk advies.

• OCMW worden hier niet opgenomen.

o GeelAangesteld maar nog niet aan de Vlaamse Toezichtcommissie gemeld. Indien deze gemeenten dat willen nuanceren in het overzicht, kunnen ze dat aan het secretariaat van de Vlaamse Toezichtcommissie melden.

o Rood

Steden en gemeenten waar de VTC geen informatie over heeft.

o Blauw

• aangesteld in het kader van een algemene machtiging van de CBPL en dit aan de VTC laten weten (geen verplichting)

• worden in de lijst vermeld met het nummer van de algemene machtiging.

Voor vragen en correcties kan u zich wenden tot het secretariaat van de VTC.

Informatieveiligheid

Vlaamse Toezichtcommissie23

Vlaamse Toezichtcommissie 24

Eerste kaart: feb 2015

Bron: Agentschap voor Geografische Informatie Vlaanderen

Vlaamse Toezichtcommissie 25

Eind maart 2015

Bron: Agentschap voor Geografische Informatie Vlaanderen

Vlaamse Toezichtcommissie 26

Eind april 2015

Bron: Agentschap voor Geografische Informatie Vlaanderen

Opstellen van een informatieveiligheidsplan

!!! Eenzelfde kader voor alle organisaties:

richtsnoeren informatieveiligheid CBPLhttp://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200_3.pdf

Versie voor steden en gemeenten wordt nu aangepast. Voor nieuwe versie (2015) volg http://www.privacycommission.be/nl/informatiebeveiliging

→ specifieke bepalingen voor instellingen van sociale zekerheid→ specifieke bepalingen voor Vlaamse instellingen→ specifieke bepalingen bij integratie gemeente - OCMW

! risico-analyse: mijlpalen – TOOL V-ICT-ORhttp://security.v-ict-or.be/informatieveiligheidstool

! awareness! voldoende middelen! stappenplan: meerjarenplanning! contract met de verwerker (dataleverancier, (onder)aannemer)

Informatieveiligheid

Vlaamse Toezichtcommissie27

• InformatieveiligheidsplanHoofdstukken:

1. Risico

2. Beleid3. Organisatie: intern + externe partijen4. Personeelsbeleid5. Bedrijfsmiddelen: classificatie informatie!6. Toegang tot persoonsgegevens7. Cryptografie8. Fysieke beveiliging

9. Operationele beveiliging10. Communicatiebeveiliging11. Aanschaffen, ontwikkelen en onderhouden informatiesystemen12. Leveranciersrelaties13. Informatiebeveiligingsincidenten14. Bedrijfscontinuïteit15. Naleving

Informatieveiligheid

Vlaamse Toezichtcommissie28

• informatieveiligheiddus niet alleen persoonsgegevens maar ook

o andere vertrouwelijke informatie

o de beschikbaarheid en betrouwbaarheid van de informatie

voor beleid, voor dossierverwerking,…

ook informatie op papier

Vlaamse Toezichtcommissie29

informatieveiligheid

AANDACHTSPUNTEN

• datalekken

aanbeveling privacycommissiehttp://vtc.corve.be/docs/CBPL_gegevenslekke

n_aanbeveling_01_2013.pdf

Vlaamse Toezichtcommissie30

informatieveiligheid

AANDACHTSPUNTEN

• CLOUDproblematiek

o Tool Smals: Cloud Securitymodel om het beveiligings-niveau van een clouddienst teevalueren.

Link naar het model en presentatie (pdf 3MB).

Vlaamse Toezichtcommissie31

informatieveiligheid

AANDACHTSPUNTEN

o Amerikaanse cloud = Vlaamse data naar vreemde mogendheid!!

• 2 wijzigingen Foreign Intelligence Surveillance Act (FISA ACT):

Patriot Act: “terrorisme”

FISA Amendments Act: “verzamelen buitenlandse inlichtingen”!

“information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States.”(§ 1801(e))

• entiteit gevestigd is in de VS, een dochteronderneming of kantoor heeft in de VS of op andere wijze continu en systematisch zaken doet in de VS

• data van “niet-Amerikaanse personen verblijvend in het buitenland” !

• clouddiensten bedoeld: “remote computing services” !

• screening kan op grote schaal (door nieuwe grote datacenters van de NSA)

• ongeacht contractuele bepalingen

o End-to-end encryptie en sleutel in eigen handen!!

Meer op http://vtc.corve.be/infoveiligheid.php

Vlaamse Toezichtcommissie32

informatieveiligheid

AANDACHTSPUNTEN

• Besluit : informatieveiligheid is een zaak van de

hele organisatie, met een belangrijke rol voor de

veiligheidsconsulent

• Linkeno www.vlaamsetoezichtcommissie.be

o www.privacycommission.be

• Vragen?

toezichtcommissie{at}vlaanderen{dot}be

Vlaamse Toezichtcommissie 34

informatieveiligheid

BESLUIT