overheidscommunicatie en privacy 2012
Transcript of overheidscommunicatie en privacy 2012
Vlaamse Toezichtcommissie
voor hetelektronische bestuurlijke gegevensverkeer
SHOPT-IT 2015Organisatie Informatieveiligheid
Mogelijkheden voor lokale besturen
Anne Teughels & Caroline Vernaillen
30 april 2015
• Waarom informatieveiligheid
• Hoe informatieveiligheid
• Aandachtspunten
Vlaamse Toezichtcommissie2
Informatieveiligheid
OVERZICHT
• Omdat het moet
• Omdat behoorlijk bestuur vraagt dat u
zorgvuldig omgaat met de gegevens
van uw burgers
• Omdat u bepaalde situaties wil
vermijden…
Vlaamse Toezichtcommissie3
Informatieveiligheid
WAAROM
“NMBS heeft een groter
probleem dan het denkt
De gegevens van 1,5 miljoen NMBS-klanten
zijn gelekt. En dat is een veel groter probleem
dan wij denken.
Dat dit zomaar kon gebeuren is al
bedroevend. Maar de manier waarop
de NMBS met deze situatie omgaat is
nóg bedroevender.
De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen….”
Bron: http://samfeys.be/nmbs-heeft-een-groter-probleem-dan-het-denkt/
Zie ook: http://datanews.knack.be/ict/nieuws/nmbs-lek-naar-justitie/article-4000229416512.htm
Vlaamse Toezichtcommissie4
Informatieveiligheid
WAAROM
Vlaamse Toezichtcommissie 5
http://datanews.knack.be/ict/nieuws/buitenlandse-zaken-gehackt-met-spionagevirus-snake/article-4000621519289.htm
http://ikgabouwen.knack.be/bouwen-renovatie/nieuws/certificatendatabank-vreg-opnieuw-online/article-4000221247672.htm
http://www.computerweekly.com/news/2240084015/UK-government-loses-data-on-25-million-Britons
http://news.cnet.com/U.K.-government-loses-pensioner-data/2100-1029_3-6223493.html
http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html
http://frontpage.fok.nl/nieuws/214628/1/1/50/franse-overheid-gehackt.html
Informatieveiligheid
als deel van
organisatiebeheersing
Vlaamse Toezichtcommissie7
Informatieveiligheid
HOE
Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden:
• Organisatiebeheersing is ingebouwd in de processen en loopt continu. “Privacy by design”
• Organisatiebeheersing is een zaak van iedereen. Niet alleen de IT-dienst!!
• Organisatiebeheersing verschaft redelijke zekerheid.
Vlaamse Toezichtcommissie8
Organisatiebeheersing
en informatieveiligheid
HOE
Vlaamse Toezichtcommissie9
Organisatiebeheersing
en informatieveiligheid
HOE
ICT-beveiliging is het geheel van maatregelen
(voorschriften, processen, activiteiten,…)
dat ervoor zorgt dat informatiesystemen
(bedrijfs- en bestuursprocessen)
een optimale bescherming genieten
(rekening houdend met het kosten-baten principe)
op het vlak van :
Vertrouwelijkheid
Privacy
Integriteit
Beschikbaarheid (BCM !)
Vlaamse Toezichtcommissie10
Organisatiebeheersing
en informatieveiligheid
Bescherming van persoonsgegevens
geldt in meeste domeinen
organisatiebeheersing
• HR: personeelsgegevens!
• Communicatie: klantengegevens, cookies, sociale
media, …
• Facilitair: gebouwinfrastructuur, toegang, bewaking
• Cultuur: deontologie, awareness, sociale media
• ICT: natuurlijk
Vlaamse Toezichtcommissie11
Organisatiebeheersing
en informatieveiligheid
Handleiding Cybersecurity
Belgische Gids voor Cyberveiligheid
De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan
zeker ook zijn nut bewijzen in een overheidscontext. Het is een
technologieneutrale en beknopte handleiding die verhelderend wil zijn voor
het management en die zo ook bruikbaar is voor de
informatieveiligheidsconsulent.
Vlaamse Toezichtcommissie12
Organisatiebeheersing
en informatieveiligheid
Belangrijke rol: veiligheidsconsulent
Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie
die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst eenveiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. (art. 9 e-govdecreet)
veiligheidsconsulent
Vlaamse Toezichtcommissie14
Verplichtingen ivm veiligheidsconsulent
art. 9 e-govdecreet
o advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid;
o onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur;
o kennis over informatieveiligheid en informaticaomgeving van de instantie;
o voldoende tijdsbesteding;
o geen onverenigbaarheid
http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf
http://vtc.corve.be/docs/Toelichting_evaluatievragenlijst_kandidaat-veiligheidsconsulent_VTC.docx
veiligheidsconsulent
Vlaamse Toezichtcommissie15
Taken Veiligheidsconsulent o advies en aanbevelingen omtrent de uitvoering
van het veiligheidsbeleid;
→ goede werking van informatiesystemen
→ privacy van de betrokkenen
Opstellen van een informatieveiligheidsplan
veiligheidsconsulent
Vlaamse Toezichtcommissie16
Veiligheidsconsulent o onder rechtstreeks gezag van verantwoordelijke
voor dagelijks bestuur
→ De verantwoordelijkheid voor de bepaling en de
uitvoering van het veiligheidsbeleid ligt bij de
verantwoordelijke voor het dagelijks bestuur.
veiligheidsconsulent
Vlaamse Toezichtcommissie17
Kwalificaties Veiligheidsconsulento kennis over informatieveiligheid en
informaticaomgeving van de instantie;
→ diploma informatica is niet vereist
→ wel voldoende kennis inzake
- informatica
- informatieveiligheid
- wetgeving
door opleiding, ervaring, conferentie, studiedagen, …
veiligheidsconsulent
Vlaamse Toezichtcommissie18
Tijdsbesteding Veiligheidsconsulent o voldoende tijdsbesteding:
→ minimaal 4 uur/week
afwijkingen dienen goed gemotiveerd
→ samenwerking gemeente – OCMW (één
infrastructuur) eenzelfde consulent voor beide
organisaties: totaal van 6 uur/week (4u + 2u)
veiligheidsconsulent
Vlaamse Toezichtcommissie19
Functie Veiligheidsconsulento geen onverenigbaarheid→ geen exhaustieve lijst van functies die onverenigbaar zijn→ ONAFHANKELIJK van dagelijks bestuur, dus geen hoofd van de informaticadienst, coördinator informatisering, hoofd van de personeelsdienst, …
→ niet de dienstenleverancier (bijstand wel mogelijk)
veiligheidsconsulent
Vlaamse Toezichtcommissie20
Veiligheidsconsulent: mogelijkheden voor lokale overhedeno Intern of externo Per stad of gemeente (nodige aantal uren per week)o Delen:
• tussen gemeenten en steden (cf. opdrachtencentrale stad Tienen (VERA))
• met OCMW (ook verschillende welzijnskoepels)• met provincie (cf. PIVA ICT Oost-Vlaanderen)
• …o Ondersteunen:
• V-ICT-OR (tool & pool + opleidingen)• Centrumsteden• Provincie• VVSG (zie randnummer 54 van de machtiging niet-inwoners)• …
Informatieveiligheid
Vlaamse Toezichtcommissie21
Bij wie aanstelling meldenAlhoewel het een bestuur vrijstaat om te kiezen waar
de aanmelding van de veiligheidsconsulent gebeurt,
is het aangewezen dat de Vlaamse lokale besturen
dat bij de Vlaamse Toezichtcommissie (VTC) doen: toelichting + evaluatievragenlijst kandidaat-veiligheidsconsulenten VTC
Overzicht VTC gemeenten met
veiligheidsconsulentenhttp://vtc.corve.be/overzicht.php
Informatieveiligheid
Vlaamse Toezichtcommissie22
Overzicht gemeenten met veiligheidsconsulento Groen
• VTC een positief advies
• Recent een advies werd gevraagd bij VTC, maar nog geen uitspraak.
• Geen onderscheid tussen al dan niet voorwaardelijk advies.
• OCMW worden hier niet opgenomen.
o GeelAangesteld maar nog niet aan de Vlaamse Toezichtcommissie gemeld. Indien deze gemeenten dat willen nuanceren in het overzicht, kunnen ze dat aan het secretariaat van de Vlaamse Toezichtcommissie melden.
o Rood
Steden en gemeenten waar de VTC geen informatie over heeft.
o Blauw
• aangesteld in het kader van een algemene machtiging van de CBPL en dit aan de VTC laten weten (geen verplichting)
• worden in de lijst vermeld met het nummer van de algemene machtiging.
Voor vragen en correcties kan u zich wenden tot het secretariaat van de VTC.
Informatieveiligheid
Vlaamse Toezichtcommissie23
Vlaamse Toezichtcommissie 24
Eerste kaart: feb 2015
Bron: Agentschap voor Geografische Informatie Vlaanderen
Vlaamse Toezichtcommissie 25
Eind maart 2015
Bron: Agentschap voor Geografische Informatie Vlaanderen
Vlaamse Toezichtcommissie 26
Eind april 2015
Bron: Agentschap voor Geografische Informatie Vlaanderen
Opstellen van een informatieveiligheidsplan
!!! Eenzelfde kader voor alle organisaties:
richtsnoeren informatieveiligheid CBPLhttp://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200_3.pdf
Versie voor steden en gemeenten wordt nu aangepast. Voor nieuwe versie (2015) volg http://www.privacycommission.be/nl/informatiebeveiliging
→ specifieke bepalingen voor instellingen van sociale zekerheid→ specifieke bepalingen voor Vlaamse instellingen→ specifieke bepalingen bij integratie gemeente - OCMW
! risico-analyse: mijlpalen – TOOL V-ICT-ORhttp://security.v-ict-or.be/informatieveiligheidstool
! awareness! voldoende middelen! stappenplan: meerjarenplanning! contract met de verwerker (dataleverancier, (onder)aannemer)
Informatieveiligheid
Vlaamse Toezichtcommissie27
• InformatieveiligheidsplanHoofdstukken:
1. Risico
2. Beleid3. Organisatie: intern + externe partijen4. Personeelsbeleid5. Bedrijfsmiddelen: classificatie informatie!6. Toegang tot persoonsgegevens7. Cryptografie8. Fysieke beveiliging
9. Operationele beveiliging10. Communicatiebeveiliging11. Aanschaffen, ontwikkelen en onderhouden informatiesystemen12. Leveranciersrelaties13. Informatiebeveiligingsincidenten14. Bedrijfscontinuïteit15. Naleving
Informatieveiligheid
Vlaamse Toezichtcommissie28
• informatieveiligheiddus niet alleen persoonsgegevens maar ook
o andere vertrouwelijke informatie
o de beschikbaarheid en betrouwbaarheid van de informatie
voor beleid, voor dossierverwerking,…
ook informatie op papier
Vlaamse Toezichtcommissie29
informatieveiligheid
AANDACHTSPUNTEN
• datalekken
aanbeveling privacycommissiehttp://vtc.corve.be/docs/CBPL_gegevenslekke
n_aanbeveling_01_2013.pdf
Vlaamse Toezichtcommissie30
informatieveiligheid
AANDACHTSPUNTEN
• CLOUDproblematiek
o Tool Smals: Cloud Securitymodel om het beveiligings-niveau van een clouddienst teevalueren.
Link naar het model en presentatie (pdf 3MB).
Vlaamse Toezichtcommissie31
informatieveiligheid
AANDACHTSPUNTEN
o Amerikaanse cloud = Vlaamse data naar vreemde mogendheid!!
• 2 wijzigingen Foreign Intelligence Surveillance Act (FISA ACT):
Patriot Act: “terrorisme”
FISA Amendments Act: “verzamelen buitenlandse inlichtingen”!
“information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States.”(§ 1801(e))
• entiteit gevestigd is in de VS, een dochteronderneming of kantoor heeft in de VS of op andere wijze continu en systematisch zaken doet in de VS
• data van “niet-Amerikaanse personen verblijvend in het buitenland” !
• clouddiensten bedoeld: “remote computing services” !
• screening kan op grote schaal (door nieuwe grote datacenters van de NSA)
• ongeacht contractuele bepalingen
o End-to-end encryptie en sleutel in eigen handen!!
Meer op http://vtc.corve.be/infoveiligheid.php
Vlaamse Toezichtcommissie32
informatieveiligheid
AANDACHTSPUNTEN
• Besluit : informatieveiligheid is een zaak van de
hele organisatie, met een belangrijke rol voor de
veiligheidsconsulent
• Linkeno www.vlaamsetoezichtcommissie.be
o www.privacycommission.be
• Vragen?
toezichtcommissie{at}vlaanderen{dot}be
Vlaamse Toezichtcommissie 34
informatieveiligheid
BESLUIT