Structuur van de uiteenzetting
description
Transcript of Structuur van de uiteenzetting
Voorstel van model voor dienstenintegratie en gegevensintegratie
in het kader van fraudebestrijding
2 1 oktober 2008College Fraudebestrijding
Structuur van de uiteenzetting• vereisten inzake informatieverwerking voor efficiënte
fraudebestrijding• dienstenintegratie versus gegevensintegratie• basisprincipes van de Wet Verwerking Persoons-
gegevens (WVP)• voorstel tot organisatie van dienstenintegratie• voorstel tot organisatie van gegevensintegratie waar
nodig• waarborgen voor de beantwoording aan de behoeften
van de gebruikers van de informatie• waarborgen voor het vermijden van onnodige
administratieve lasten voor datasubjecten
3 1 oktober 2008College Fraudebestrijding
Vereisten• fraudebestrijding vereist
– efficiënte integratie van informatie
– met respect voor de basisprincipes van de Wet Verwerking Persoonsgegevens
– op een manier die beantwoordt aan de behoeften van de gebruikers van de geïntegreerde informatie
– op een manier die geen onnodige administratieve lasten met zich brengt voor de datasubjecten
4 1 oktober 2008College Fraudebestrijding
Gegevensintegratie versus dienstenintegratie
• (persoons)gegevensintegratie– samenbrengen van (persoons)gegevens uit verschillende
authentieke bronnen en opslag ervan in een geïntegreerde gegevensbank met het oog op de verwerking ervan
• dienstenintegratie– integreren van elektronische deeldiensten tot geïntegreerde
elektronische diensten met het oog op de aanbieding ervan aan derden
5 1 oktober 2008College Fraudebestrijding
Wet Verwerking Persoonsgegevens (WVP)
• eerlijke en rechtmatige verwerking• doelbinding
– verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
– zowel bij de verwerving van de persoonsgegevens als bij de verdere verwerking ervan (verenigbaarheid met initieel doeleinde)
• evenredigheid: de verwerkte persoonsgegevens moeten, in functie van het doeleinde van de verwerking,– toereikend– ter zake dienend– en niet overmatig zijn
6 1 oktober 2008College Fraudebestrijding
Wet Verwerking Persoonsgegevens (WVP)• kwaliteit
– bijwerken– verbeteren– verwijderen
• redelijke bewaarduur• informatieverstrekking
– bij inzameling van persoonsgegevens bij de betrokkene– bij registratie/mededeling van persoonsgegevens– uitzonderingen
• gepaste technische en organisatorische veiligheidsmaatregelen, gebaseerd op een afweging tussen– de stand van de techniek en de kosten van de maatregelen– de aard van de gegevens en de potentiële risico’s
7 1 oktober 2008College Fraudebestrijding
Wet Verwerking Persoonsgegevens (WVP)
• rechten van het datasubject– informatie– kennisname– verbetering– verwijdering
• specifieke regels voor de verwerking van– gevoelige gegevens– gezondheidsgegevens– gerechtelijke gegevens
8 1 oktober 2008College Fraudebestrijding
Algemeen principe• dienstenintegratie is minder bedreigend voor de
persoonlijke levenssfeer dan persoonsgegevens-integratie omdat– het geen permanent samenbrengen en geïntegreerde opslag
van persoonsgegevens vereist, maar persoonsgegevens enkel tijdelijk samenbrengt op het ogenblik van het aanbod van de geïntegreerde dienst
– het geen redundante opslag van persoonsgegevens vereist, die leidt tot een verhoogde foutenkans
– een dienstenintegrator kan worden belast met een rol van ‘trusted third party’ die er, zonder eigen belang in het samenbrengen van persoonsgegevens, over waakt dat dat samenbrengen geschiedt met respect voor de regelgeving inzake de bescherming van de persoonlijke levenssfeer en de eventuele machtigingen van de bevoegde sectorale comités
9 1 oktober 2008College Fraudebestrijding
Algemeen principe• daarom is gegevensintegratie slechts aanvaardbaar
indien dit noodzakelijk is en eenzelfde functionaliteit niet redelijk kan worden aangeboden via dienstenintegratie
• de verantwoordelijke van verwerking van persoonsgegevensintegratie dient aldus te beschikken– hetzij over een wettelijke basis– hetzij over een gerechtvaardigd belang om aan
persoonsgegevensintegratie te doen en dat belang redelijkerwijze niet kunnen nastreven met dienstenintegratie
10 1 oktober 2008College Fraudebestrijding
Voorstel tot organisatie dienstenintegratie
InternetInternet
FedMANFedMAN
Diensten-repository
FOD
FOD
POD
FOD
ISZ
Diensten-repository
Extranetsociale
zekerheid
ISZDiensten-repository
Extranet gewest of
gemeenschap
Extranet gewest of
gemeenschap
GODGOD
Diensten-repository
Residuaire federaledienstenintegrator
(Fedict)
Socialediensten-integrator
(KSZ)
Andere sectorale dienstenintegratoren
(fiscus, justitie, politie, …)
Regionale dienstenintegrato
r(Corve, Easi-wal
CIBG, …)
Instelling/dienst x
Instelling/dienst y
Extranet ofFedMAN
Extranet ofFedMAN
11 1 oktober 2008College Fraudebestrijding
Regeling dienstenintegratoren• beslissing omtrent dienstenintegrator per overheidsniveau of
–sector• duidelijke afbakening van toepassingsgebieden tussen
dienstenintegratoren• wettelijke regeling van toepassingsgebied en opdrachten van
elke dienstenintegrator• elke dienstenintegrator staat onder controle van een
Sectoraal Comité van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL), dat dienstenintegratie machtigt na toetsing ervan aan de principes van de Wet Verwerking Persoonsgegevens
• elke dienstenintegrator wordt best beheerd door vertegen-woordigers van de onderscheiden actoren in de betrokken sector en datasubjecten om– hun vertrouwen te genieten– een gebruikersgerichte werking te waarborgen
12 1 oktober 2008College Fraudebestrijding
Inhoudelijke opdrachten dienstenintegratoren• vastleggen van de visie inzake geïntegreerde elektronische
dienstverlening in de betrokken sector• vastleggen en promoten van de visie en de gemeenschappelijke
basisprincipes inzake informatiebeheer en –veiligheid (zie lager) in de betrokken sector
• coördineren van de procesoptimalisatie in de betrokken sector• programma- en projectbeheer in de betrokken sector• vastleggen, implementeren en beheren van het
samenwerkingsplatform in de betrokken sector– technisch: architectuur en standaarden voor veilige uitwisseling van
informatie
– semantisch: begripsharmonisatie en coördinatie van de aanpassingen van de regelgeving
– business logica and orchestratie
– bevorderen van dienstengeoriënteerde toepassingen
13 1 oktober 2008College Fraudebestrijding
Inhoudelijke opdrachten dienstenintegratoren• op alle hoger vermelde domeinen, afspraken maken en
samenwerken met dienstenintegratoren in andere sectoren of op andere overheidsniveaus voor sector- of overheidsniveau-overschrijdende dienstenintegratie
• veranderingsbeheer• vorming en coaching• optreden als trusted third party voor de codering en anonimisering
van gegevens• beheer van een verwijzingsrepertorium met 3 functies als basis voor
de organisatie van de elektronische gegevensuitwisseling tussen de actoren in de betrokken sector– preventieve controle op de rechtmatigheid van de toegang
– routering van vragen naar de plaats waar het antwoord beschikbaar is
– automatische mededeling van gewijzigde gegevens
• geen massale centrale opslag van inhoudelijke persoonsgegevens
14 1 oktober 2008College Fraudebestrijding
Verwijzingsrepertorium• 4 tabellen
– wie-waar-hoe-wanneer-tabel (personenrepertorium): welke personen bezitten in welke hoedanigheden dossiers bij welke actoren m.b.t. welke periodes ?
– wat-waar-tabel (gegevensbeschikbaarheidstabel): welke soorten persoonsgegevens zijn beschikbaar bij welke soorten actoren in de verschillende soorten dossiers ?
– wie-mag-wat-krijgen-tabel (toegangsmachtigingstabel): welke persoonsgegevens mogen welke soorten actoren verkrijgen m.b.t. de verschillende soorten dossiers en m.b.t. welke periodes ?
– wie-krijgt-wat-automatisch-tabel (abonnemententabel): welke persoonsgegevens worden m.b.t. de verschillende soorten dossiers in welke omstandigheden automatisch meegedeeld aan welke soorten actoren ?
15 1 oktober 2008College Fraudebestrijding
Opdrachten dienstenintegratoren• preventieve controle op de rechtmatigheid van de
uitwisseling van persoonsgegevens als trusted third party (TTP)– die onafhankelijk is van de leverancier en de gebruiker van de
persoonsgegevens– die zelf geen inhoudelijke verwerking van persoonsgegevens
verricht– die idealiter wordt medebeheerd door vertegenwoordigers van
de datasubjecten
• loggen van elke elektronische uitwisseling van persoonsgegevens om eventueel oneigenlijk gebruik ex post te kunnen traceren
16 1 oktober 2008College Fraudebestrijding
Dienstenintegratoren en WVP• eerlijkheid, rechtmatigheid en doelbinding
– dienstenintegratie enkel toegelaten indien nodig voor• de uitvoering van een wettelijke verplichting• de behartiging van het gerechtvaardigd belang van de gebruiker van de
geïntegreerde dienst, mits het belang of de fundamentele rechten en vrijheden van het data subject niet zwaarder doorwegen
– dienstenintegratie is een specifiek doeleinde– duidelijke afbakening van het doel van de dienstenintegrator– duidelijke beschrijving van de geïntegreerde diensten, hun
onderscheiden bestanddelen en de orchestratie– duidelijke aanduiding van de verantwoordelijke van de
verwerking waarbij recht van toegang, verbetering en wissing kan worden uitgeoefend
17 1 oktober 2008College Fraudebestrijding
Dienstenintegratoren en WVP• proportionaliteit
– dienstenintegrator mag niet meer of langer persoonsgegevens opslaan dan voor de levering van de geïntegreerde diensten of voor andere doeleinden die daarmee verband houden =>
• gebruik van de gedistribueerde authentieke bronnen eerder dan centrale gegevensopslag
• taakverdeling inzake beheer van verwijzingsrepertoria
• beheer van loggings volgens principe van “cirkels van vertrouwen”
– dienstenintegrator mag enkel persoonsgegevens verwerken die relevant en niet overmatig zijn voor de gebruikers van de geïntegreerde dienst
– dienstenintegrator leeft bij dienstenintegratie de eventuele machtigingen van de Sectorale Comités van de CBPL na
– dienstenintegrator treft gepaste maatregelen opdat de gebruikers van de geïntegreerde diensten enkel persoonsgegevens verkrijgen m.b.t. de personen waarover deze gegevens relevant en niet overmatig zijn voor de rechtmatige doeleinden waarvoor ze de geïntegreerde dienst gebruiken
18 1 oktober 2008College Fraudebestrijding
Dienstenintegratoren en WVP• juistheid en nauwkeurigheid
– dienstenintegrator sluit met leveranciers van deeldiensten service level agreements af i.v.m. juistheid en nauwkeurigheid van de aangeleverde persoonsgegevens
• transparantie– dienstenintegrator verschaft openbare informatie over
• het doel van de dienstenintegratie• het toepassingsgebied van de dienstenintegratie• de geïntegreerde diensten, hun onderscheiden bestanddelen en de
orchestratie• de verantwoordelijke van de verwerking waarbij recht van toegang,
verbetering en wissing kan worden uitgeoefend
– betrokkenheid van vertegenwoordigers van de datasubjecten in de beheers- en/of controle-organen van de dienstenintegrator
– telkens de informatie wordt gebruikt voor een beslissing wordt aan de betrokkene de gebruikte informatie meegedeeld bij de mededeling van de beslissing
19 1 oktober 2008College Fraudebestrijding
Dienstenintegratoren en WVP• veiligheid
– dienstenintegrator waarborgt dat persoonsgegevens verwerkt voor dienstenintegratie niet voor andere doeleinden worden verwerkt
– dienstenintegrator waarborgt de integriteit, de authenticiteit, de beschikbaarheid en de vertrouwelijkheid van de persoonsgegevens die hij verwerkt en maakt daartoe afspraken met de onderscheiden tussenkomende partijen in de hele dienstverleningsketen
– dienstenintegrator waarborgt preventieve controle op het doel en de evenredigheid van de dienstenintegratie (zie hogervermelde deelprincipes)
– dienstenintegrator waarborgt dat persoonsgegevens niet onrechtmatig kunnen gewijzigd of vernietigd worden tijdens de verwerking
20 1 oktober 2008College Fraudebestrijding
Dienstenintegratoren en WVP• veiligheid
– dienstenintegrator waarborgt de auditeerbaarheid (wie, wat, wanneer, over wie en waarvoor) van de verwerking van de persoonsgegevens over de hele dienstverleningsketen heen en maakt daartoe afspraken met de onderscheiden tussenkomende partijen in de hele dienstverleningsketen
– dienstenintegrator werkt de veiligheidsmaatregelen uit volgens het principe van de “cirkels van vertrouwen”
– dienstenintegrator beschikt over een interne informatie-veiligheidsdienst met stimulerende, coördinerende en eventueel regulerende functie t.a.v. de aanbieders van deeldiensten en de gebruikers van de geïntegreerde diensten
– naleving door dienstenintegrator en gebruikers van geïntegreerde diensten wordt jaarlijks geëvalueerd door een extern controleorgaan, bij voorkeur een Sectoraal Comité van de CBPL, aan de hand van de invulling van een checklist m.b.t. de minimale veiligheidsnormen
21 1 oktober 2008College Fraudebestrijding
Principe van "cirkels van vertrouwen"• doel
– vermijden van onnodige centralisatie– vermijden van onnodige bedreigingen voor de bescherming van de
persoonlijke levenssfeer– vermijden van meervoudige identieke controles en opslag van loggings
• methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake– wie welke authenticaties, verificaties en controles verricht aan de hand
van welke middelen en daarvoor verantwoordelijk en aansprakelijk is– hoe tussen de betrokken instanties de resultaten van de verrichte
authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld
– wie welke loggings bijhoudt– hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een
controle-orgaan of n.a.v. klacht, een volledige tracering kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt
22 1 oktober 2008College Fraudebestrijding
Sectorale comités• opgericht in de schoot van de Commissie voor de Bescherming van
de Persoonlijke Levenssfeer (CBPL)• bestaande uit
– vertegenwoordigers van de CBPL
– onafhankelijke specialisten inzake het domein, aangewezen door de Kamer van Volksvertegenwoordigers
• taken– verstrekken van machtigingen tot (elektronische) uitwisseling van
persoonsgegevens, buiten de gevallen waarin dit is toegelaten bij wet
– vaststellen van organisatie en policies inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein
– verstrekking van adviezen en aanbevelingen inzake informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein
– behandeling van klachten inzake inbreuken op informatieveiligheid bij de verwerking van persoonsgegevens in het betrokken domein
23 1 oktober 2008College Fraudebestrijding
Gegevensintegratie voor datamining• aggregatie van persoonsgegevens door onafhankelijke
dienstenintegrator(en)• codering van persoonsgegevens door onafhankelijke
dienstenintegrator– verwijderen van rechtstreekse identificatiemiddelen
– afdoende onmogelijk maken van onrechtstreekse identificatie, oa door indeling van informatie in klassen
• terbeschikkingstelling van gecodeerde informatie aan instanties bevoegd voor risico-analyse
• indien uit risico-analyse afdoende vermoedens van fraude blijkt, decodering van betrokken gecodeerde gegevens door onafhankelijke dienstenintegrator
• terbeschikkingstelling van niet-gecodeerde persoonsgegevens aan instanties bevoegd voor fraudebestrijding
24 1 oktober 2008College Fraudebestrijding
Voorbeeld: OASIS-project
Identificatie Actie Beheer
Fraudeverstoptin massainformatie
……
674Z
945Y
993X
ScoreNr
Te behandelengevallenen uitleg
Beslissingomtrent acties
Onmiddellijk onderzoek
Administratief onderzoek
Mededeling aan gewestelijke dienst
Periodiek heronderzoek
Geen specifieke actie
Fraudekomt boven
dooranalyse
25 1 oktober 2008College Fraudebestrijding
Voorbeeld: OASIS-project• voorbeelden van "knipperlichten"
– aantal gelijkgestelde dagen wegens ziekte, ongeval of loopbaanonderbreking >> gemiddelde van sector
– hoog aantal gelijkgestelde dagen wegens economische werkloosheid en weerverlet tezamen met aanwerving van nieuwe werknemers tijdens de periode
– gelijkgestelde dagen wegens economische werkloosheid en weerverlet zijn niet dezelfde als door de RVA effectief terugbetaalde dagen
– aantal gelijkgestelde dagen wegens economische werkloosheid of weerverlet of compensatiedagen /aantal gewerkte dagen >> gemiddelde van de sector
– massale aanwerving van werknemers tijdens een korte periode– verhoging omzet maar vermindering van het aantal werknemers– aantal annuleringen van aangegeven personeel tijdens het
kwartaal boven een bepaalde drempel
26 1 oktober 2008College Fraudebestrijding
Voorbeeld: OASIS-project• voorbeelden van "knipperlichten"
– zakencijfer/aantal werknemers >> gemiddelde van de sector in de loop van het trimester
– verloop (aantal nieuwe en vertrekkende werknemers) >> gemiddelde van de sector
– groot verschil tussen een trimestriële loon- en arbeidstijdsaangifte en de vorige versie
• variatie van de totale loonmassa > grens• variatie van het aantal werknemers > minimumaantal
27 1 oktober 2008College Fraudebestrijding
Vermijden onnodige administratieve lasten
• respect voor aantal basisprincipes inzake informatiebeheer en informatieveiligheid
– modellering van informatie
– eenmalige inzameling en hergebruik van informatie
– beheer van informatie
– uitwisseling van informatie
28 1 oktober 2008College Fraudebestrijding
Modellering van informatie• informatie wordt gemodelleerd op een wijze die zo nauw
mogelijk aansluit bij de feitelijke realiteit– definitie van informatie-elementen– definitie van kenmerken van informatie-elementen– definitie van relaties tussen informatie-elementen
• de modellering houdt rekening met zoveel mogelijk voorzienbare gebruiksbehoeften van de informatie
• de modellering kan flexibel worden uitgebreid en aangepast indien de feitelijke realiteit of de gebruiksbehoeften wijzigen (verminderen of vermeerderen)
• de concrete implementatie van het model wordt afgestemd op de bestaande gebruiksbehoeften van de informatie
29 1 oktober 2008College Fraudebestrijding
Eenmalige inzameling en hergebruik• informatie wordt enkel ingezameld voor welbepaalde doeleinden en
in de mate dat ze proportioneel is met deze doeleinden• informatie wordt slechts één keer ingezameld, zo dicht mogelijk bij
de authentieke bron• de inzameling geschiedt via een kanaal gekozen door degene
waarbij de informatie wordt ingezameld, maar bij voorkeur elektronisch, en met uniforme basisdiensten
• de inzameling geschiedt op basis van het informatiemodel en op basis van zo eenvormig en eenvoudig mogelijke instructies
• met de mogelijkheid tot kwaliteitscontrole door degene waarbij de informatie wordt ingezameld vóór de informatie-overdracht
• de ingezamelde informatie wordt één keer gevalideerd overeenkomstig een vastgelegde taakverdeling, door de instantie die daartoe over de meeste competenties beschikt of daarbij het meest belang heeft
• en dan gedeeld met en hergebruikt door gemachtigde gebruikers
30 1 oktober 2008College Fraudebestrijding
Beheer van informatie• een functionele taakverdeling wordt afgesproken omtrent
welke instantie welke informatie in authentieke vorm opslaat, beheert en toegankelijk stelt voor alle gemachtigde gebruikers
• informatie wordt bewaard overeenkomstig het informatiemodel
• de informatie kan flexibel worden geaggregeerd in functie van de wijzigende behoeften
• afspraken worden gemaakt inzake de toepassing van de nodige maatregelen voor het behoud van de integriteit en de consistentie van de informatie
• elke instantie is verplicht om vermoede onjuistheden van de informatie te melden aan de instantie die ze dient te valideren overeenkomstig de vastgelegde taakverdeling
31 1 oktober 2008College Fraudebestrijding
Beheer van informatie• elke instantie die informatie overeenkomstig de
vastgelegde taakverdeling moet valideren, is verplicht om de gemelde vermoede onjuistheden te onderzoeken, zo nodig te verbeteren en de verbeterde informatie ter beschikking te stellen van de gekende belanghebbende instanties
• informatie wordt enkel beheerd zolang dat nodig is in functie van de organisatiebehoeften, het beleid of de regelgeving, of nog, bij voorkeur geanonimiseerd of gecodeerd, zolang ze relevante historische of archiefwaarde heeft
32 1 oktober 2008College Fraudebestrijding
Uitwisseling van informatie• eenmaal ingezameld en gevalideerd, wordt de informatie
zoveel mogelijk elektronisch opgeslagen, beheerd en uitgewisseld, om manuele heringave te vermijden
• informatie wordt enkel uitgewisseld met akkoord van de betrokkene of wanneer dat nodig is in functie van de organisatiebehoeften, het beleid of de regelgeving
• de elektronische uitwisseling van informatie geschiedt op initiatief van– de instantie die over de informatie beschikt of– de instantie die de informatie nodig heeft of– een dienstenintegrator
33 1 oktober 2008College Fraudebestrijding
Uitwisseling van informatie• de elektronische uitwisseling van informatie geschiedt
aan de hand van een functioneel en technisch interoperabiliteitsframework, dat geleidelijk, maar permanent mee-evolueert met open marktstandaarden, en onafhankelijk is van de gebruikte techniek van informatie-uitwisseling
• de beschikbare informatie wordt proactief gebruikt voor– de automatische toekenning van rechten– de voorinvulling bij informatie-inzameling– de informatieverstrekking aan de betrokkenen
34 1 oktober 2008College Fraudebestrijding
Behoeften van de gebruikers• dienstenintegratie van toepassing tot toepassing
– indien nood aan naverwerking van informatie volgens eigen logica van gebruiker of opslag van informatie in eigen informatiesysteem
– nood aan ontwikkeling van toepassing door gebruiker
• dienstenintegratie aangeboden via webtoepassing– indien geen nood aan naverwerking van informatie volgens
eigen logica van gebruiker en geen nood aan opslag van informatie in eigen informatiesysteem
– geen nood aan ontwikkeling van toepassing door gebruiker
• gegevensintegratie
D@nk u !
Vragen ?