Veiligheidsbeleid Steden en Gemeenten - vragenlijst

43
Veiligheidsbeleid vragenlijst steden en gemeenten @TommyVandepitte 1 VEILIGHEIDSBELEID VRAGENLIJST Deze vragenlijst zou je moeten helpen om als stad of gemeente een degelijke strategie rond informatiebeveiliging op te stellen die gepast is voor jouw stad of gemeente, eerder dan klakkeloos voort te gaan op het voorbeeld van de rijksdienst voor sociale zekerheid (zie KSZ- website) of van een andere stad of gemeente. Het is pas als je aan de uitwerking toekomt dat de strategie in meer detail uitgewerkt kan/moet worden. De concrete uitwerking van de strategie gebeurt dan door het (continue) verder uitbouwen van de kennis van de organisatie (gegevens, bedrijfsmiddelen en risico’s) en de concrete act ies die binnen de komende drie jaar zullen worden genomen (het zogenaamde veiligheidsplan ). We wijzen erop dat de strategie op zich onvoldoende is. Ze is lang, dat klopt. Dat is een consequentie van het opdelen van de vragen in zo concreet mogelijke deelvragen en het meegeven van de gebruikelijke antwoorden. Dat betekent niet dat je daar voor jouw stad of gemeente niet van kan of mag afwijken. Het kan zelfs nodig zijn om een veiligheidsbeleid te maken waar de stad of gemeente zich volledig in kan vinden en dat dan ook meer gedragen zal zijn. Je kan de vragenlijst ook gebruiken om jezelf voor te bereiden om van de beslissingnemers de nodige input te krijgen om tot de opmaak van een gepast veiligheidsbeleid op te stellen. De indeling van de vragenlijst, die je makkelijk kan opmaken aan de hand van de inhoudstafel, geeft grotendeels aan waarover je uitspraken van de beslissingnemers wil krijgen. Daarover hebben we ook een korte presentatie gemaakt (zie slideshare.net/mactvdp). Alle feedback op dit document is welkom. Je kan ons onder meer vinden op @TommyVandepitte (twitter) of dezelfde naam op LinkedIn. In elk geval, succes ! Inhoudstafel Toepassingsgebied .................................................................................................................... 4 Risico appetijt ............................................................................................................................. 4 Maturiteit ..................................................................................................................................... 5 Organisatie ................................................................................................................................. 7 Personen................................................................................................................................. 7 Veiligheidsconsulent ........................................................................................................... 7 Ondersteuning Veiligheidsconsulent .................................................................................. 9 Juridisch advies ............................................................................................................... 9 Technisch advies ........................................................................................................... 10 Projectwerking ............................................................................................................... 10 Interne controle .............................................................................................................. 10

description

Dit is een vragenlijst die steden en gemeenten moet ondersteunen bij het uitwerken van een informatieveiligheidsbeleid. Dat is onder meer vereist op basis van het Vlaamse e-gov decreet en besluit en de reglementering m.b.t. de kruispuntbank sociale zekerheid (die voornamelijk voor OCMW's belangrijk is).

Transcript of Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Page 1: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 1

VEILIGHEIDSBELEID VRAGENLIJST

Deze vragenlijst zou je moeten helpen om als stad of gemeente een degelijke strategie rond informatiebeveiliging op te stellen die gepast is voor jouw stad of gemeente, eerder dan

klakkeloos voort te gaan op het voorbeeld van de rijksdienst voor sociale zekerheid (zie KSZ-

website) of van een andere stad of gemeente.

Het is pas als je aan de uitwerking toekomt dat de strategie in meer detail uitgewerkt kan/moet worden. De concrete uitwerking van de strategie gebeurt dan door het (continue) verder uitbouwen van de kennis van de organisatie (gegevens, bedrijfsmiddelen en risico’s) en de concrete acties die binnen de komende drie jaar zullen worden genomen (het zogenaamde “veiligheidsplan”). We wijzen erop dat de

strategie op zich onvoldoende is.

Ze is lang, dat klopt. Dat is een consequentie van het opdelen van de vragen in zo concreet mogelijke deelvragen en het meegeven van de gebruikelijke antwoorden. Dat betekent niet dat je daar voor jouw stad of gemeente niet van kan of mag afwijken. Het kan zelfs nodig zijn om een veiligheidsbeleid te maken waar de stad of gemeente zich volledig in kan vinden en

dat dan ook meer gedragen zal zijn.

Je kan de vragenlijst ook gebruiken om jezelf voor te bereiden om van de beslissingnemers de nodige input te krijgen om tot de opmaak van een gepast veiligheidsbeleid op te stellen.

De indeling van de vragenlijst, die je makkelijk kan opmaken aan de hand van de inhoudstafel, geeft grotendeels aan waarover je uitspraken van de beslissingnemers wil krijgen. Daarover hebben we ook een korte presentatie gemaakt (zie

slideshare.net/mactvdp).

Alle feedback op dit document is welkom. Je kan ons onder meer vinden op

@TommyVandepitte (twitter) of dezelfde naam op LinkedIn.

In elk geval, succes !

Inhoudstafel

Toepassingsgebied .................................................................................................................... 4

Risico appetijt ............................................................................................................................. 4

Maturiteit ..................................................................................................................................... 5

Organisatie ................................................................................................................................. 7

Personen................................................................................................................................. 7

Veiligheidsconsulent ........................................................................................................... 7

Ondersteuning Veiligheidsconsulent .................................................................................. 9

Juridisch advies ............................................................................................................... 9

Technisch advies ........................................................................................................... 10

Projectwerking ............................................................................................................... 10

Interne controle.............................................................................................................. 10

Page 2: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 2

Werkgroep Informatiebeveiliging ...................................................................................... 11

Medewerkers ..................................................................................................................... 11

Interne Database-Eigenaars ............................................................................................. 12

Klankbord Informatiebeveiliging........................................................................................ 13

Gemeentesecretaris .......................................................................................................... 14

Management Team ........................................................................................................... 14

Ondertekenaars van overeenkomsten ............................................................................. 14

Burgemeester en schepenen ............................................................................................ 15

Gemeenteraad .................................................................................................................. 15

Specifieke uitwerking ............................................................................................................ 16

Bestaande feitelijke situatie .............................................................................................. 16

Beleidsdocumenten........................................................................................................... 17

Vindplaats ...................................................................................................................... 17

Versiebeheer ................................................................................................................. 18

Communicatie naar medewerkers ................................................................................ 18

Planning............................................................................................................................. 18

Werven .......................................................................................................................... 18

Opvolging....................................................................................................................... 20

Projecten ........................................................................................................................... 21

Aanpak...................................................................................................................................... 23

Implementerende beleidsdocumenten ................................................................................. 23

Veiligheidsplan .................................................................................................................. 23

Beleidsteksten (“policies”) ................................................................................................. 24

Procedures ........................................................................................................................ 24

Richtlijnen en instructies ................................................................................................... 25

Continue verbetering ............................................................................................................ 26

Samenwerking ...................................................................................................................... 28

Intra-gemeentelijk.............................................................................................................. 28

OCMW ........................................................................................................................... 28

AGB’s ............................................................................................................................. 29

Andere extern verzelfstandigde agentschappen .......................................................... 29

Page 3: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 3

Inter-gemeentelijk.............................................................................................................. 30

Politiezone ..................................................................................................................... 30

Intercommunales ........................................................................................................... 31

Bewustmaking .......................................................................................................................... 33

Doelgroep(en) ....................................................................................................................... 33

Inhoudelijke accenten ........................................................................................................... 33

Kanalen ................................................................................................................................. 34

Financieel ................................................................................................................................. 36

Budget................................................................................................................................... 36

Rapportering ......................................................................................................................... 37

Transparantie ........................................................................................................................... 38

Intern ..................................................................................................................................... 38

Rapportering...................................................................................................................... 38

Jaarverslag .................................................................................................................... 38

Verdergaand .................................................................................................................. 40

Controle door de gemeenteraad ....................................................................................... 41

Controle door Vlaanderen ................................................................................................. 41

Data subjecten ...................................................................................................................... 41

Page 4: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 4

Toepassingsgebied

Welke entiteiten willen we in het toepassingsgebied van dit veiligheidsbeleid ?

De gemeente OCMW dat de gemeente bedient Politie die de gemeente bedient Intern verzelfstandigde agentschappen (221-224 GD) Welke? Extern verzelfstandigde agentschappen (225 e.v. GD)

Welke? Intergemeentelijke samenwerkingen (“intercommunales”)

Welke?

Andere: xxx

Welke gegevens willen we in het toepassingsgebied van dit veiligheidsbeleid ?

Persoonsgegevens zoals gedefinieerd in de privacywet Andere: xxx (bijv. gegevens die onder openbaarheid van bestuur vallen,

gegevens die onder de archiefreglementering vallen)

Risico appetijt

Welke risico’s zijn we bereid te accepteren ?

Risico’s die een mogelijke impact hebben van minder dan xxx EUR (per jaar).

Risico’s die een mogelijke impact hebben op minder dan xxx verschillende data

subjecten.

Risico’s waardoor de gemeente waarschijnlijk in de pers komt, maar die extern zijn (bijv. hackers) en waar de gemeente alle redelijke maatregelen heeft genomen

om die te voorkomen.

Risico’s waardoor redundante systemen uitvallen voor minder dan 5 werkdagen.

Risico’s die kennelijk en ondubbelzinnig contractueel zijn toe te rekenen aan een

toeleverancier van de gemeente.

Welke risico’s zijn we niet bereid te accepteren ?

Risico’s die een mogelijke impact hebben van meer dan xxx EUR (per jaar).

Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data

subjecten.

Risico’s die een mogelijke impact hebben op meer dan xxx verschillende data

subjecten.

Risico’s waardoor de gemeente waarschijnlijk in de pers komt, waar de

gemeente niet alle redelijke maatregelen heeft genomen om die te voorkomen.

Page 5: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 5

Risico’s waardoor de gemeente waarschijnlijk meermaals (voor verschillende feiten) in de pers komt, ook als die extern zijn (bijv. hackers) en waar de gemeente

alle redelijke maatregelen heeft genomen om die te voorkomen.

Risico’s waardoor kritische systemen zoals bepaald door het managementteam

uitvallen voor meer dan 24 uur.

Risico’s waardoor – wanneer ze zich voordoen – het vertrouwen van de burger in

de gemeente ernstig wordt geschokt.

Risico’s die een klaarblijkelijke inbreuk zijn op een strafrechtelijk gesanctioneerde norm.

Wie beoordeelt de risico’s?

De concrete beoordeling van een risico wordt bepaald door

het college van burgemeester en schepenen, met een geschreven advies van de

veiligheidsconsulent.

het gemeentesecretaris, met een geschreven advies van de veiligheidsconsulent.

het managementteam, met een geschreven advies van de veiligheidsconsulent.

de projectleider die het concrete project implementeert.

de verantwoordelijke voor de betrokken applicatie en/of databank, desgevallend

beide.

Hoe vaak wordt de risicobeoordeling gemaakt?

Eenmalig bij de implementering van de toepassing of gegevensverwerking.

Bij de implementering van de toepassing of gegevensverwerking, daarna jaarlijks in het kader van het jaarverslag van de veiligheidsconsulent.

Bij de implementering van de toepassing of gegevensverwerking, daarna driejaarlijks in het kader van een volledig doorlopen cyclus van het veiligheidsplan

van de veiligheidsconsulent.

Maturiteit

Wat is de inschatting van de gemeente omtrent de maturiteit van de informatiebeveiliging?

Model 1 Model 2

Niet aanwezig Niet georganiseerd. Georganiseerd in silo’s (IT, preventie) Opgelegd van boven naar beneden. Systematisch aangepakt Doordrongen.

Initieel (onvoorspelbaar, reactief) Beheerst (projectgebaseerd, reactief) Gedefinieerd (staande org., proactief) Bestuurd (gemeten en onder controle) Optimaal (gericht op procesverbetering)

Page 6: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 6

Heeft de gemeente een nulmeting omtrent de maturiteit van de informatiebeveiliging?

Nee.

Ja, een inschatting van de veiligheidsconsulent van xxx.

Ja, een inschatting van de interne controledienst van xxx.

Ja, een inschatting van een externe audit van xxx.

Nog niet, zij wordt georganiseerd door de veiligheidsconsulent voor eind xxx.

Nog niet, zij wordt georganiseerd door de interne controledienst voor eind xxx.

Nog niet, zij wordt georganiseerd als een externe audit voor eind xxx.

Waar wil de gemeente staan qua maturiteit van de informatiebeveiliging binnen 3 jaar?

Model 1 Model 2

Niet aanwezig Niet georganiseerd. Georganiseerd in silo’s (IT, preventie) Opgelegd van boven naar beneden. Systematisch aangepakt Doordrongen.

Initieel (onvoorspelbaar, reactief) Beheerst (projectgebaseerd, reactief) Gedefinieerd (staande org., proactief) Bestuurd (gemeten en onder controle) Optimaal (gericht op procesverbetering)

Welk niveau van maturiteit wil de gemeente bereiken om het vanaf dan aan te houden?

Model 1 Model 2 Niet aanwezig Niet georganiseerd. Georganiseerd in silo’s (IT, preventie) Opgelegd van boven naar beneden. Systematisch aangepakt Doordrongen.

Initieel (onvoorspelbaar, reactief) Beheerst (projectgebaseerd, reactief) Gedefinieerd (staande org., proactief) Bestuurd (gemeten en onder controle) Optimaal (gericht op procesverbetering)

Binnen welke termijn wil de gemeente dat maturiteitsniveau bereiken om het vanaf dan aan

te houden?

3 jaar 4 jaar 5 jaar 6 jaar 7 jaar 8 jaar

Page 7: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 7

Organisatie

In dit onderdeel worden de verantwoordelijkheden in grote lijnen toegewezen. Zij worden verder uitgewerkt in specifieke beleidsteksten (bijv. per werf), procedures, functie-

beschrijvingen en/of instructies.

PERSONEN

VEILIGHEIDSCONSULENT

Kiest de gemeente voor een interne of een externe veiligheidsconsulent?

intern extern

Stelt de gemeente ook adjuncten van de veiligheidsconsulent aan?

nee ja

Zoja, intern en of extern?

intern extern

Zoja, hoeveel?

intern 1 2 3 4 5

extern 1 2 3 4 5

Voert de veiligheidsconsulent zijn taak voltijds uit?

nee ja

Zonee, hoeveel tijd wordt de veiligheidsconsulent toegekend om zijn taken te

vervullen?

zoveel als redelijkerwijs nodig

80% van een VTE

60% van een VTE

40% van een VTE

20% van een VTE

andere: (aanvullen)

Zonee, zal dit periodiek geëvalueerd en herzien worden?

nee ja

Zoja, hoe periodiek?

triennaal

biennaal

jaarlijks

Page 8: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 8

semestrieel

op kwartaalbasis

maandelijks

Zoja, door wie?

de gemeenteraad

het college van burgemeester en schepenen

de gemeentesecretaris

de hiërarchisch overste van de veiligheidsconsulent

andere: (aanvullen)

Wat is de plaats van de veiligheidsconsulent in het organogram van de gemeente (art. 70

Gemeentedecreet)?

extern

lid van het managementteam (art. 96 GD)

rechtstreeks in staf bij de gemeentesecretaris

hoofd van de dienst procesverbetering

medewerker van de dienst procesverbetering

hoofd van de dienst projectbeheer

medewerker van de dienst projectbeheer

hoofd van de dienst organisatie

medewerker van de dienst organisatie

hoofd van de juridische dienst

medewerker van de juridische dienst

andere: (aanvullen)

Wat zijn de taken van de veiligheidsconsulent?

de taken die hem worden toegewezen in de wet: adviseren (incl. plannen), stimuleren,

controleren, documenteren (incl. rapporteren)

bijkomend de volgende taken: xxx (bijv. bijhouden van de verschillende versies van beleidsteksten die gerelateerd zijn aan informatiebeveiliging, gelijke taken voor het ruimere

toepassingsgebied)

Wat zijn de machten van de veiligheidsconsulent?

de taken die hem worden toegewezen in de wet

bijkomend de volgende machten: xxx (bijv. rechtstreekse toegang tot de burgemeester, geven van instructies aan medewerkers in zoverre ze verband houden met de

Page 9: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 9

informatieveiligheid, coördinatie van de communicatie bij incidenten gerelateerd aan

informatiebeveiliging)

Wat is de relatie van de veiligheidsconsulent ten aanzien van de gemeentesecretaris in diens controlefunctie (art. 87 en 99-101 GD)?

hiërarchisch ondergeschikt

functioneel ondergeschikt (N.B. “dagelijks bestuur” zoals in KSZ-KB en VTC-besluit?)

(afspraken over) verplichte wederzijdse rapportering

(afspraken over) verplichte eenzijdige rapportering van de rapporten van de

veiligheidsconsulent aan de gemeentesecretaris in diens controlefunctie

(afspraken over) verplichte eenzijdige rapportering van de rapporten van de gemeentesecretaris in diens controlefunctie aan de veiligheidsconsulent in de mate dat ze

betrekking hebben op de opdracht van de veiligheidsconsulent

andere: (aanvullen)

Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de

gemeenteraad om te beslissen of iets de persoonlijke levenssfeer raakt (art. 28 GD)?

nee ja

Wordt de veiligheidsconsulent ingeschakeld ter ondersteuning van de voorzitter van de

gemeenteraad om te beslissen over openbaarheid van bestuur ?

nee ja

Wat is de relatie met van de veiligheidsconsulent(en) van andere gemeentestructuren :

OCMW, politie, etc.?

de veiligheidsconsulent is veiligheidsconsulent van al deze gemeentestructuren

de veiligheidsconsulent is tegelijk ook veiligheidsconsulent van volgende

gemeentestructuren: (aanvullen)

de veiligheidsconsulent van de gemeente onderhoud actief een werkrelatie (o.a. door uitwisseling van goede praktijken en ervaring) met de veiligheidsconsulent(en) van de

volgende gemeentestructuren: (aanvullen)

de veiligheidsconsulent van de gemeente onderhoud geen werkrelatie met de

veiligheidsconsulent(en) van deze gemeentestructuren.

ONDERSTEUNING VEILIGHEIDSCONSULENT

Juridisch advies

Kan de veiligheidsconsulent een beroep doen op de afdeling juridisch advies?

nee ja

Zoja, waarvoor ?

opvolging en aanlevering van nieuwigheden en wijzigingen m.b.t. wetgeving

gerelateerd aan privacy en informatiebeveiliging

Page 10: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 10

algemene juridische adviezen m.b.t. privacy en informatiebeveiliging

ad hoc juridische adviezen m.b.t. privacy en informatiebeveiliging

juridisch nakijken van de adviezen van de veiligheidsconsulent

input voor de opmaak van privacy impact assessments

het verzekeren dat in overheidsopdrachten, waar nodig, bepalingen zijn

opgenomen m.b.t. veilige gegevensverwerking s.l.

het melden aan de veiligheidsconsulent van overheidsopdrachten waarin desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige gegevensverwerking s.l. en de daarbijhorend vraag om advies van de

veiligheidsconsulent

het verzekeren dat in overeenkomsten van de gemeente, waar nodig, bepalingen

zijn opgenomen m.b.t. veilige gegevensverwerking s.l.

het melden aan de veiligheidsconsulent van overeenkomsten waarin desgevallend bepalingen zouden moeten worden opgenomen m.b.t. veilige gegevensverwerking s.l. en de daarbijhorend vraag om advies van de

veiligheidsconsulent

andere: (aanvullen)

N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

Technisch advies

Kan de veiligheidsconsulent een beroep doen op de afdeling IT?

nee ja

Zoja, waarvoor ?

informatie over de technische werking en beveiliging van IT-systemen

andere: (aanvullen)

N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

Projectwerking

Kan de veiligheidsconsulent een beroep doen op de afdeling projecten?

nee ja

Zoja, waarvoor ?

het melden van projecten waar gegevensverwerking aan te pas komt

het opmaken van een privacy impact assessment op basis van een sjabloon

aangeleverd door de veiligheidsconsulent

andere: (aanvullen)

N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

Interne controle

Page 11: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 11

Kan de veiligheidsconsulent een beroep doen op de afdeling interne controle?

nee ja

Zoja, waarvoor ?

het meenemen van het aspect privacy en informatiebeveiliging bij checks op

zoek naar mogelijke verbeteringen in de organisatie

het uitvoeren van checks op zoek naar mogelijke verbeteringen op het gebied

van privacy en informatiebeveiliging in de organisatie

andere: (aanvullen)

N.B. De betrokkenen moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

WERKGROEP INFORMATIEBEVEILIGING

Kan de veiligheidsconsulent beschikken over een werkgroep informatiebeveiliging?

nee ja

Wie mag zetelen in de werkgroep informatiebeveiliging?

hoofd van de afdeling facilitair of de persoon die hij daartoe aanwijst

hoofd van de afdeling IT of de persoon die hij daartoe aanwijst

hoofd van de afdeling archief of de persoon die hij daartoe aanwijst

hoofd van de afdeling preventie of de persoon die hij daartoe aanwijst

hoofd van de afdeling projecten of de persoon die hij daartoe aanwijst

hoofd van de afdeling juridisch advies of de persoon die hij daartoe aanwijst

wie ad hoc daartoe wordt opgeroepen door de veiligheidsconsulent

andere: (aanvullen)

Hoe periodiek komt de werkgroep informatiebeveiliging samen?

jaarlijks

semestrieel

op kwartaalbasis

maandelijks

zo vaak als nodig, te bepalen door de veiligheidsconsulent

N.B. De leden van de werkgroep moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

MEDEWERKERS

Ondersteunt de gemeente een individuele verantwoordelijkheid van alle medewerkers van

de gemeente op het gebied van informatiebeveiliging?

Page 12: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 12

nee ja

Zoja, wordt dit verder verbijzonderd?

in een algemene gedragslijn die voor alle medewerkers geldt

in de functie-omschrijvingen via een algemene bewoording

in de functie-omschrijvingen via een bijzondere bewoording per functie

Zijn er onder de medewerkers – buiten de veiligheidsconsulent en eventuele adjuncten -

personen met bijzondere verantwoordelijkheden met betrekking tot informatiebeveiliging?

nee ja

Zoja, welke?

aangeduide vlaggendragers informatiebeveiliging per dienst

vrijwillige ambassadeurs van informatiebeveiliging

projectbeheerders informatiebeveiliging

procesverbeteraars informatiebeveiliging

andere: (aanvullen)

INTERNE DATABASE-EIGENAARS

Ondersteunt de gemeente een gedecentraliseerde verantwoordelijkheid voor de verwerking

van persoonsgegevens van een specifiek data set?

N.B. Een data set is een set van (persoons)gegevens over een bepaalde categorie van data subjecten die worden verwerk t door een specifiek doel. Dezelfde gegevens die voor een ander doel worden

verwerk t worden in principe als een andere data set beschouwd.

nee ja

Welke verantwoordelijkheden wordt opgelegd aan de Interne Database-Eigenaars?

in kaart brengen van het directe en afgeleide gebruik van de data set

het onder controle houden van het directe en afgeleide gebruik van de data set

door het maken van schriftelijke afspraken met de secundaire gebruikers

het bewaken van het principe dat secundaire gebruikers de data set altijd bij de oorspronkelijke data set moeten aansluiten (eerder dan voort te bouwen op afgeleide

informatie)

het beoordelen of toegangsrechten al dan niet mogen worden toegekend aan

een aanvrager

het periodiek – desgevallend in tweede lijn (na de algemene procedure van toegangsrechten) - evalueren van de toegangsrechten tot de data set en beëindigen

van die rechten die niet langer nodig zijn

het spontaan melden van het ontstaan en het einde van de data set en het

bijhorend interne database-eigenaarschap aan de veiligheidsconsulent

Page 13: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 13

het op eerste verzoek overmaken van de lijst van (categorieën van) toegangsgerechtigden aan de veiligheidsconsulent of anderen die gerechtigd zijn op

die informatie

andere: (aanvullen)

Wie duidt de Interne Database-Eigenaars aan?

de feitelijke toestand (zie “residuair”)

het college van burgemeester en schepenen

de gemeentesecretaris

het hoofd van de dienst waar de data set wordt binnengehaald of ontwikkeld

andere: (aanvullen)

Indien formeel geen Interne Database-Eigenaar is aangeduid, wie is dan de residuaire

Interne DataBase-Eigenaar?

het hoofd van de dienst (met als laagste in aanmerking komend niveau de

teamcoach) waar de data set wordt binnengehaald of ontwikkeld

het hoofd van de dienst (met als laagste in aanmerking komend niveau de

directeur) waar de data set wordt binnengehaald of ontwikkeld

het college van burgemeester en schepenen

de gemeentesecretaris

andere: (aanvullen)

KLANKBORD INFORMATIEBEVEILIGING

Kan de veiligheidsconsulent beschikken over een klankbord informatiebeveiliging?

N.B. Het k lankbord verschilt van de werkgroep op het niveau dat het k lankgroep de zogenaamde “business” omvat, daar waar de werkgroep eerder gericht is naar personen die met een bepaalde kennis of kunde bijdragen aan of ondersteuning bieden van de kennis of kunde van de

veiligheidsconsulent.

nee ja

Wie mag zetelen in het klankbord informatiebeveiliging?

alle Interne Database-Eigenaren

een vertegenwoordiging van de Interne Database-Eigenaren

andere: (aanvullen)

Hoe periodiek komt de werkgroep informatiebeveiliging samen?

jaarlijks

semestrieel

Page 14: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 14

op kwartaalbasis

maandelijks

zo vaak als nodig, te bepalen door de veiligheidsconsulent

N.B. De leden van het k lankbord moeten daarvoor de nodige tijd kunnen en mogen vrijmaken.

GEMEENTESECRETARIS

Wat is de rol van de gemeentesecretaris op het gebied van informatiebeveiliging?

een passieve rol als ontvanger van rapporten

een actieve rol als ondersteuner van de veiligheidsconsulent

een actieve rol als ambassadeur van informatiebeveiliging

andere: (aanvullen)

MANAGEMENT TEAM

Wat is de rol van het management team op het gebied van informatiebeveiliging?

een passieve rol als ontvanger van rapporten

een actieve rol als ondersteuner van de veiligheidsconsulent

een actieve rol als ambassadeur van informatiebeveiliging

andere: (aanvullen)

Wordt er binnen het management team een sponsor aangeduid tot wie de veiligheidsconsulent en medewerkers zich kunnen richten voor management-ondersteuning

m.b.t. informatiebeveiliging?

nee ja

Zoja, wie?

de gemeentesecretaris

de directeur onder wiens verantwoordelijkheid IT ressorteert

de directeur onder wiens verantwoordelijkheid personeel ressorteert

andere: (aanvullen)

Zoja, wordt de rol van sponsor nader uitgewerkt in een document?

nee

ja, het veiligheidsbeleid

ja, een specifiek document

ONDERTEKENAARS VAN OVEREENKOMSTEN

Page 15: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 15

Wordt aan ondertekenaars van overeenkomsten voor de gemeente een verantwoordelijkheid opgelegd om na te gaan of in overeenkomsten waarbij gegevensverwerking aan de orde is

de nodige clausules zijn opgenomen?

nee

ja

BURGEMEESTER EN SCHEPENEN

Wat is de rol van het college van burgemeester en schepenen op het gebied van informatiebeveiliging?

een passieve rol als ontvanger van rapporten

een actieve rol als ondersteuner van de veiligheidsconsulent

een actieve rol als ambassadeur van informatiebeveiliging

andere: (aanvullen)

Wordt er binnen het college van burgemeester en schepenen een sponsor aangeduid tot wie de veiligheidsconsulent en medewerkers zich kunnen richten voor beleidsondersteuning

m.b.t. informatiebeveiliging?

nee ja

Zoja, wie?

de burgemeester

de schepen onder wiens verantwoordelijkheid IT ressorteert

de schepen onder wiens verantwoordelijkheid personeel ressorteert

andere: (aanvullen)

Zoja, wordt de rol van sponsor nader uitgewerkt in een document?

nee

ja, het veiligheidsbeleid

ja, een specifiek document

GEMEENTERAAD

Wat en wanneer wordt aan de gemeenteraad voorgelegd in verband met informatie-

beveiliging?

elk jaar in de maand x / eerste of laatste (voorziene) vergadering van de gemeenteraad

wordt het rapport van de veiligheidsconsulent aan de gemeenteraad voorgelegd

(het budget voor) informatiebeveiliging wordt opgenomen in het meerjarenplan (146 GD) eventueel delen in het plan met verwijzing ernaar; budget (151 GD), vooral exploitatie- (BAU)

en investeringsbudget

dringende investeringen in verband met informatiebeveiliging (art. 157 en 162 GD) bijv.

na een gedetecteerde aanval en/of bijhorend forensisch onderzoek

Page 16: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 16

andere: (aanvullen)

SPECIFIEKE UITWERKING

BESTAANDE FEITELIJKE SITUATIE

Waar wordt een overzicht van de bestaande feitelijke situatie met betrekking tot informatiebeveiliging bijgehouden?

centraal in een gegevensverwerkingsregister

decentraal in verschillende gegevensverwerkingsregisters die centraal gekend en

onmiddellijk opvraagbaar zijn, nl.

op het niveau van de dienst

op het niveau van het department

volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,

aankoopdienst, …)

Door wie wordt centraal een overzicht van de bestaande feitelijke situatie met betrekking tot

informatiebeveiliging bijgehouden?

de veiligheidscoördinator

de adjunct-veiligheidscoördinator specifiek met die taak belast

de gemeentesecretaris

de diensten van de gemeentesecretaris

andere: (aanvullen)

Door wie wordt decentraal een overzicht van de bestaande feitelijke situatie met betrekking

tot informatiebeveiliging bijgehouden?

niet van toepassing

het hoofd van de eenheid op welk niveau de decentrale register worden bijgehouden

specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale

register worden bijgehouden

andere: (aanvullen)

Hoe wordt een overzicht van de bestaande feitelijke situatie met betrekking tot

informatiebeveiliging actueel gehouden?

projectbeheerders dienen nieuwe gegevensverwerkingen te melden

gegevensverwerkingen zijn toegewezen aan “eigenaars” die hun

gegevensverwerking moeten melden en die melding actueel moeten houden

toegangsbeheer vereist verbinding met een (centrale) personendatabase

Page 17: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 17

periodiek wordt de gekende informatie getoetst bij de hoofden van de diensten

en/of departmenten

andere: (aanvullen)

BELEIDSDOCUMENTEN

Vindplaats

Waar wordt een overzicht van de beleidsdocumenten met betrekking tot informatiebeveiliging

bijgehouden?

centraal in een register

decentraal in verschillende registers die centraal gekend en onmiddellijk opvraagbaar zijn, nl.

op het niveau van de dienst

op het niveau van het department

volgende registers: (aanvullen) (bijv. HR, facilitair, ICT, burgerzaken,

aankoopdienst, …)

Door wie wordt centraal een overzicht van de bestaande beleidsdocumenten met betrekking

tot informatiebeveiliging bijgehouden?

de veiligheidscoördinator

de adjunct-veiligheidscoördinator specifiek met die taak belast

de gemeentesecretaris

de diensten van de gemeentesecretaris

de personeelsdienst

de dienst organisatie

andere: (aanvullen)

Door wie wordt decentraal een overzicht van de bestaande beleidsdocumenten met betrekking tot informatiebeveiliging bijgehouden?

niet van toepassing

het hoofd van de eenheid op welk niveau de decentrale register worden

bijgehouden

specifiek aangeduide personen binnen de eenheid op welk niveau de decentrale

register worden bijgehouden

andere: (aanvullen)

Hoe wordt een overzicht van de bestaande beleidsdocumenten met betrekking tot

informatiebeveiliging actueel gehouden?

beleidsdocumenten worden enkel beslist door het college van burgemeesters en

schepenen

Page 18: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 18

beleidsdocumenten moeten altijd kenbaar worden gemaakt aan de

gemeentesecretaris voor ze effect kunnen hebben

beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging moeten altijd voor advies worden voorgelegd aan de veiligheidsconsulent alvorens ze

beslist kunnen worden

beleidsdocumenten die (deels) betrekking hebben op informatiebeveiliging moeten na te zijn beslist, altijd in hun besliste versie worden overgemaakt aan de

veiligheidsconsulent

andere: (aanvullen)

Versiebeheer

Op welke manier wordt aan versiebeheer gedaan van de beleidsdocumenten met betrekking

tot informatiebeveiliging?

de verantwoordelijke voor de bewaring van de beleidsdocumenten, bewaart

eveneens de eerdere versies

eerdere versies van beleidsdocumenten worden bewaard in het archief van de

gemeente

andere: (aanvullen)

Voor welke periode worden versies van beleidsdocumenten met betrekking tot

informatiebeveiliging bijgehouden?

vijf jaar na de eerste januari van het jaar volgend op het ogenblik dat het

document geen uitwerking meer had

zeven jaar na de eerste januari van het jaar volgend op het ogenblik dat het

document geen uitwerking meer had

minstens tien jaar na de eerste januari van het jaar volgend op het ogenblik dat

het document geen uitwerking meer had

Communicatie naar medewerkers

Op welke manier worden van toepassing zijnde beleidsdocumenten met betrekking tot

informatiebeveiliging op permanente wijze gecommuniceerd aan medewerkers?

via het intranet van de gemeente, zonder dat deze document specifiek

gebundeld zijn onder het criterium informatiebeveiliging

via een specifiek daartoe opgezet onderdeel van het intranet van de gemeente

via het handboek voor de medewerkers dat elke medewerker voor en bij

aanwerving ontvangt evenals bij elke wijziging

andere: (aanvullen)

PLANNING

Werven

Wordt de planning van de uitvoering van het veiligheidsbeleid aangepakt in werven?

Page 19: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 19

nee ja

Zonee, hoe wordt de planning wel aangepakt?

aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt

aan de hand van het veiligheidsplan waar per actie een timing op wordt geplakt

in de jaarplanning

aan de hand van het veiligheidsplan waar het dagelijks bestuur van de

organisatie zelf de prioriteit kan bepalen

aan de hand van het veiligheidsplan waar de veiligheidsconsulent zelf de

prioriteit kan bepalen

andere: aanvullen

Zoja, welke werven worden aangeduid met welke prioriteit?

Algemene werven J/N Prio

Beleidsteksten Datagerelateerde werven J/N Prio

Data van burgers Data van medewerkers

Data van gemeenteraadsleden

Data van het publiek (bijv. camera’s) Werven van bijzonder gereglementeerde gegevens J/N Prio

Verwerkingen waarin een link wordt gelegd naar het rijksregister Verwerkingen waarin een link wordt gelegd naar de kruispuntbank sociale zekerheid

Verwerkingen waarin het rijksregisternummer voorkomt Verwerkingen waarin strafrechtelijke (persoons)gegevens voorkomen

Verwerkingen waarin gerechtelijke (persoons)gegevens voorkomen

Verwerkingen waarin medische (persoons)gegevens voorkomen Verwerkingen waarin gegevens voorkomen op basis waarvan zou kunnen worden gediscrimineerd

Verwerkingen m.b.t. direct marketing Verwerkingen van telefooncommunicatie

Verwerkingen m.b.t. reclame per telefoon Verwerkingen van briefwisseling

Verwerkingen van elektronische communicatie Verwerkingen m.b.t. reclame per elektronische post

Verwerkingen van camerabeelden Verwerkingen van afbeeldingen van personen (incl. foto’s)

Verwerkingen waarbij de eID van de burger wordt gebruikt

Verwerkingen waarbij de eID van de medewerker wordt gebruikt Werven i.v.m. samenwerking J/N Prio

Verwerkingen die zijn uitbesteed naar derden (C2P) Verwerkingen die gebeuren in samenwerking met het OCMW (C2C)

Verwerkingen die gebeuren in samenwerking met andere gemeenten (C2C)

Verwerkingen die gebeuren in samenwerking met (andere)

Page 20: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 20

derden (C2C) Werven gebaseerd op locatie J/N Prio

Verwerkingen waarbij (persoons)gegevens België verlaten

Verwerkingen waarbij (persoons)gegevens de EU verlaten Werven gerelateerd aan departementen J/N Prio

(aanvullen departement)

Andere werven J/N Prio

(aanvullen)

Opvolging

Op welke manier wordt de vooruitgang van de implementatie (desgevallend de werven)

opgevolgd?

voorwaarts kijkende key risk indicators

verslagen van incidenten (eventueel volgens een vooraf vastgesteld sjabloon)

checks door de diensthoofden

checks door de vlaggendragers in de diensten

checks door de (adjunct-)veiligheidsconsulent

checks door de dienst interne controle, waarvan de veiligheidsconsulent wordt

geïnformeerd

en die samen met de veiligheidsconsulent zijn opgezet (bijv. door

vragenlijsten, sjablonen, …)

externe audits, waarvan de veiligheidsconsulent wordt geïnformeerd

en die in voorafgaand overleg met de veiligheidsconsulent zijn opgezet

de verplichte (driejaarlijkse) externe audit

andere: aanvullen

Met welke periodiciteit wordt de vooruitgang opgevolgd?

continu

wekelijks

maandelijks

tweemaandelijks

op kwartaalbasis

semestrieel

andere: (aanvullen)

Page 21: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 21

PROJECTEN

Wordt informatiebeveilging in projecten betrokken?

N.B. Dit heeft als voordeel dat – als het correct gebeurt – dat het risico (als er al een is) vroeg gekend is zodat aan degelijk risicobeheer kan worden gedaan, en de implementatiekost van maatregelen om “privacy by design” te werken zo laag mogelijk wordt

gehouden.

ja nee

Via wie wordt informatiebeveilging formeel in projecten betrokken?

de projectleider

de veiligheidsconsulent

de adjunct-veiligheidsconsulent aangesteld voor de afdeling waar het project

wordt uitgewerkt

de adjunct-veiligheidsconsulent die ad hoc voor het project wordt aangesteld

door de veiligheidsconsulent

het hoofd van de afdeling waar het project wordt uitgewerkt

de gemeentesecretaris

andere: (aanvullen)

Hoe wordt informatiebeveilging formeel in projecten betrokken?

de projectleider kan – naar eigen oordeel - informeel advies vragen aan de veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die

adviezen vermelden in zijn projectverslagen

de projectleider moet de veiligheidsconsulent of dienst aangeduide adjunct(en) schriftelijk informeren (bij het begin) van het project en samen met de hem (hen)

bepalen hoe zijn (hun) tussenkomst gedurende het project georganiseerd zal worden

de projectleider moet schriftelijk informeel advies vragen aan de veiligheidsconsulent of diens aangeduide adjunct(en) en het resultaat van die

adviezen vermelden in zijn projectverslagen

de projectleider moet formeel advies vragen aan de veiligheidsconsulent of diens

aangeduide adjunct(en)

de (risico)beoordeling (“privacy impact assessment”) door de projectleider moet in het projectcharter worden opgenomen, zodat beslisser(s) er kennis van kunnen

nemen

de (risico)beoordeling (“privacy impact assessment”) door de (adjunct-)veiligheidsconsulent moet in het projectcharter worden opgenomen, zodat beslisser(s) er kennis van kunnen nemen

een formeel advies van de veiligheidsconsulent moet worden opgemaakt en aan

de beslissingnemer(s) bezorgd

andere: (aanvullen)

Page 22: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 22

Hoe vaak wordt informatiebeveilging formeel in projecten betrokken?

een maal

op specifiek aangeduide ogenblikken

zoveel als nodig naar het oordeel van de projectleiding

zoveel als nodig naar het oordeel van de veiligheidsconsulent

zoveel als nodig naar het oordeel van de beslissingsnemer(s)

andere: (aanvullen)

Op welk ogenblik wordt informatiebeveilging in projecten betrokken?

van bij de opstart van het project

van bij de conceptie van het “probleem” dat door het project moet worden

aangepakt

vanaf het ogenblik dat door de gebruikers tussen de verschillende opties van de

long list wordt gekozen

vanaf het ogenblik dat door de technici tussen de verschillende opties van de

long list wordt gekozen

vanaf het ogenblik dat door technici en gebruikers tussen de verschillende opties

van de short list wordt gekozen

vanaf het ogenblik dat door de gebruikers en de technici één oplossing is gekozen

op het ogenblik dat de beslissing voor één oplossing wordt genomen door de beslissingnemer(s)

bij de implementatie van de oplossing waarvoor gekozen is

bij de evaluatie van de implementatie van de oplossing waarvoor gekozen is

andere: (aanvullen)

Page 23: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 23

Aanpak

Wat volgt zit op de rand tussen veiligheidsbeleid en de uitvoering daarvan in het veiligheidsplan. De bedoeling is dus voornamelijk om al na te denken op welke manier het

beleid uitgevoerd zou moeten / kunnen worden.

IMPLEMENTERENDE BELEIDSDOCUMENTEN

VEILIGHEIDSPLAN

Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoeringsmaatregelen?

N.B. Meer detail maakt de taken “SMART”-er waardoor het makkelijker is ze te meten en/of

af te ronden.

het niveau van de minimumnormen voor beveiliging van de CBPL / KSZ / VTC

het niveau van concrete uitvoeringsmaatregelen zoals omschreven in ISO27002

/ NIST800-53

een tussenniveau tussen de minimumnormen en concrete

uitvoeringsmaatregelen zoals omschreven in ISO27002 / NIST800-53

andere: (aanvullen)

Tot op welk niveau van detail gaat het veiligheidsplan m.b.t. de uitvoerder?

het niveau van de organisatie

het niveau van het directoraat

het niveau van de dienst

het niveau van het team

het niveau van het individu

andere: (aanvullen)

Aan de hand van welke algemene criteria bepalen we de prioriteiten van de elementen in het

veiligheidsplan?

N.B. Deze criteria kunnen worden aangevuld of anders worden gerangschikt in concrete

gevallen, maar dit is de algemene beleidsoptie.

Criterium Belang

probabiliteit van een voorval

financiële impact impact op de continuïteit van de dienst

impact op beschikbaarheid

impact op integriteit impact op confidentialiteit

impact op respecteren van de doelgebondenheid andere: aanvullen

Wordt het veiligheidsplan verbijzonderd in jaarplannen?

Page 24: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 24

N.B. Afhankelijk van het detail van het veiligheidsplan kan dit overbodig zijn.

nee ja

Wordt het veiligheidsplan “rollend” geconcipieerd?

N.B. Onder “rollend” wordt begrepen dat het veiligheidsplan altijd de komende drie jaar overspant en dus na de afsluiting van een jaar wordt aangevuld met nieuwe acties voor een

volgend derde jaar.

nee ja

BELEIDSTEKSTEN (“POLICIES”)

Welke beleidsteksten moeten (volgens welke prioriteit) worden uitgewerkt, beslist en

uitgerold?

N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum

of anders in termen van een hiërarchie.

Beleidstekst Prio

Bijhouden van informatie over de goederen van het OCMW (informatie, hardware, software, …) (asset management)

Bijhouden van informatie over de uitbestede verwerkingsprocessen Gedragscode (rond informatiebeveiliging) voor interne medewerkers

Gedragscode / -contract (rond informatiebeveiliging) voor externe medewerkers

Informatieclassificatie

Incidentenbeheer, incl. communicatie rond incidenten Continuiteitsbeleid

Openbaarheid van bestuur Fysieke beveiliging

Softwareontwikkeling Uitbesteding (algemeen)

Toegangen tot informatie Paswoorden

Cloud computing door het OCMW of m.b.t. gegevens onder de verantwoordelijkheid van het OCMW (dropbox, webmail, etc.)

Hardware van het OCMW die ook voor privaat gebruik kan dienen (gsm, laptop, tablet, etc)

E-mail Internetgebruik (eventuele blokkering)

Monitoring (CAO 81) Sociale media

Breng je eigen toestel (BYOD) Sanctionering van personeel (gradaties) voor overtredingen van de beleidsteksten, richtlijnen of instructies

Andere: (aanvullen)

PROCEDURES

Welke domeinen worden (in het begin) minstens deels door procedures ondervangen?

alle domeinen waarvoor nog geen richtlijnen zijn uitgewerkt

Page 25: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 25

andere: (aanvullen)

In welke processen moet de (adjunct-)veiligheidsconsulent verplicht ingeschakeld worden?

veiligheidsincident

antwoorden vragenlijsten aan toezichthouders gerelateerd aan

(persoons)gegevensverwerking (CPBL, KSZ, VTC,…)

controles en/of audits gerelateerd aan (persoons)gegevensverwerking door de

toezichthouders (CPBL, KSZ, VTC,…)

vragen van data subjecten waar nog geen gestandardiseerd antwoord voor is

ontwikkeld

opmaak van ICT beleidsplannen om te overleggen welke plannen/projecten een

nadere studie van de informatiebeveiliging aangewezen is

opmaak van planning van interne controle om te overleggen in welke mate

controles elementen van informatiebeveiliging (kunnen) bevatten

projecten die verwerking van persoonsgegevens bevatten

wijzigingen aan verwerkingen van persoonsgegevens

uitbesteding van processen van verwerking van persoonsgegevens

andere: (aanvullen)

RICHTLIJNEN EN INSTRUCTIES

Welke richtlijnen en instructies moeten (volgens welke prioriteit) worden uitgewerkt, beslist

en uitgerold?

N.B. Druk prioriteit bij voorkeur uit in termen van weken, maanden en/of jaren of streefdatum

of anders in termen van een hiërarchie.

Richtlijnen en instructies Prio

Classificeren van informatie in de praktijk

Indeling in zone omwille van fysieke beveiliging Overheidsopdrachten waarbij verwerking van persoonsgegevens (ook) wordt uitbesteed

Netwerkbeveiliging Virusbescherming

Toekenning van toegangsrechten aan nieuwe medewerkers (incl. badges, sleutels, etc.)

Evaluatie en eventuele wijziging van toegangsrechten bij functiewijziging van medewerkers

Beëindigig van toegangsrechten bij exit van medewerkers Gebruik van externe dragers (zoals USB)

Back-up en back-up-testen Uitdienststelling of vernietiging van hardware waarop (persoons-) gegevens bewaard werden

Opruiming of vernietiging van papieren dossier waarin (persoons-) gegevens vervat zijn

Andere: (aanvullen)

Page 26: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 26

CONTINUE VERBETERING

Wordt het veiligheidsplan en de prioriteiten van de acties erin periodiek geëvalueerd en

desgevallen aangepast?

nee (enkel zoals wettelijk vereist: 3-jaarlijks) ja, jaarlijks ja, semestrieel

Wie neemt het initiatief voor de evaluatie van het veiligheidsplan?

de veiligheidsconsulent

de werkgroep informatiebeveiliging

het management team

het college van burgemeester en schepenen

andere: (aanvullen)

Wordt aan elk beleidsdocument (al dan niet expliciet) een procedure voorzien om

uitzonderingen aan te pakken ?

N.B. Het is eigen aan beleidsteksten dat ze niet alles (kunnen) omvatten. Dat is zeker zo in het begin, maar blijft vaak zo o.m. omwille van de wijzigende omgeving. Net zoals een te grote vrijheid, belemmert een te grote rigiditeit de implementatie (implementeerbaarheid, aanvaardbaarheid, …). Daarom moeten de uitzonderingen gebalanceerd en weloverwogen

zijn.

nee ja

Worden de beleidsdocumenten m.u.v. het veiligheidsplan (beleid, richtlijn, instructie,…)

periodiek geëvalueerd en desgevallen aangepast?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

Zoja, door wie (ultiem)?

gemeentesecretaris

management team

college van Burgemeester en Schepenen

gemeenteraad

andere: (aanvullen)

Worden de toegangsregelingen (fysiek, digitaal, archief, openbaarheid van bestuur,…)

periodiek geëvalueerd en desgevallend aangepast?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

Zoja, door wie (ultiem)?

directeur verantwoordelijk voor (aanvullen)

gemeentesecretaris

management team

Page 27: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 27

college van Burgemeester en Schepenen

gemeenteraad

andere: (aanvullen)

Worden de toegekende toegangsrechten (fysiek, digitaal, archief, openbaarheid van

bestuur,…) periodiek geëvalueerd en desgevallend aangepast?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na

informeel advies van de veiligheidsconsulent voor twijfelgevallen)

de dienst interne controle

de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn

de directeurs verantwoordelijk voor de betrokken personeelsleden

directeur verantwoordelijk voor (aanvullen)

gemeentesecretaris

management team

college van Burgemeester en Schepenen

andere: (aanvullen)

Wordt informatieclassificatie zoals die in de praktijk is omgezet periodiek gecheckt, geëvalueerd en desgevallend aangepast – los van aanpassingen n.a.v. in- of afvoeren van

verwerkingsprocessen?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na

informeel advies van de veiligheidsconsulent voor twijfelgevallen)

de dienst interne controle

de interne database-eigenaar voor de database(s) waarvan zij “eigenaar” zijn

de (adjunct-)veiligheidsconsulent

directeur verantwoordelijk voor (aanvullen)

gemeentesecretaris

management team

college van Burgemeester en Schepenen

andere: (aanvullen)

Worden bij de interne database-eigenaars periodiek gecheckt of en hoe ze zich van hun taak

kwijten en wordt daarbij door feedback gestreefd naar een uniforme en betere aanpak?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

Page 28: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 28

Zoja, door wie (ultiem)? (eventueel samen, in verschillende lijnen en eventueel na

informeel advies van de veiligheidsconsulent voor twijfelgevallen)

de dienst interne controle

de (adjunct-)veiligheidsconsulent

directeur verantwoordelijk voor (aanvullen)

gemeentesecretaris

management team

college van Burgemeester en Schepenen

andere: (aanvullen)

Wordt het informatieoverzicht periodiek gecheckt en desgevallend aangevuld – los van de aanpassingen die gebeuren naar aanleiding van implementatie of wijziging van

verwerkingsprocessen?

nee ja, jaarlijks ja, tweejaarlijks ja, driejaarlijks

de dienst interne controle

de (adjunct-)veiligheidsconsulent

directeur verantwoordelijk voor (aanvullen)

gemeentesecretaris

management team

college van Burgemeester en Schepenen

andere: (aanvullen)

SAMENWERKING

INTRA-GEMEENTELIJK

OCMW

Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en OCMW?

nee ja

Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het

OCMW, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

nee ja

Omtrent welke domeinen?

beoordelingsoverleg

kennisdeling

veiligheidsbeleid

Page 29: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 29

veiligheidsplan

beleidsteksten

richtlijnen en instructies

bewustmakingsacties

checks

andere: (aanvullen)

AGB’s

Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en het AGB?

nee ja

Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en het

AGB, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

nee ja

Omtrent welke domeinen?

beoordelingsoverleg

kennisdeling

veiligheidsbeleid

veiligheidsplan

beleidsteksten

richtlijnen en instructies

bewustmakingsacties

checks

andere: (aanvullen)

Andere extern verzelfstandigde agentschappen

Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde) EVA’s?

nee ja

Zoja, welke?

(aanvullen)

Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de EVA’s, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

nee ja

Omtrent welke domeinen?

beoordelingsoverleg

Page 30: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 30

kennisdeling

veiligheidsbeleid

veiligheidsplan

beleidsteksten

richtlijnen en instructies

bewustmakingsacties

checks

andere: (aanvullen)

INTER-GEMEENTELIJK

Politiezone

Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de politiezone?

geen

documentatie van de verwerkingen van gerechtelijke gegevens

documentatie van alle verwerkingen van persoonsgegevens

documentatie van de verantwoordelijkheden van de controller(s)

aanstelling van een veiligheidsconsulent

bewustmaking van wie in aanraking komt met de gegevens van de politiezone

controles m.b.t. informatiebeveiliging en rapportering van de bevindingen

andere: (aanvullen)

Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en de politiezone

waartoe hij behoort?

N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier

“gebruik van te maken”.

nee ja

Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de

politiezone, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

nee ja

Omtrent welke domeinen?

beoordelingsoverleg

kennisdeling

veiligheidsbeleid

Page 31: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 31

veiligheidsplan

beleidsteksten

richtlijnen en instructies

bewustmakingsacties

checks

andere: (aanvullen)

Intercommunales

Welke accenten worden gelegd inzake informatieveiligheid in de samenwerking binnen de

intercommunales?

geen

documentatie van alle verwerkingen van persoonsgegevens

documentatie van de verantwoordelijkheden van de controller(s) en processor(s)

aanstelling van een veiligheidsconsulent

bewustmaking van wie in aanraking komt met de gegevens van de intercommunale

controles m.b.t. informatiebeveiliging en rapportering van de bevindingen

andere: (aanvullen)

Wordt eenzelfde veiligheidsconsulent nagestreefd voor stad/gemeente en (bepaalde)

intercommunales?

N.B. Aangezien een politiezone gemeenteoverschrijdend is, is dit voor een gemeente niet evident. Hoewel, als er een grote stad in de politiezone zit, kan het nuttig zijn om hier “gebruik van te maken”. Als er meerdere grote steden/gemeenten zijn, is het waarschijnlijk

beter een afzonderlijke veiligheidsconsulent te hebben.

nee ja

Zoja, welke?

(aanvullen)

Als er geen unipersonaliteit komt van de veiligheidsconsulent van de stad/gemeente en de

intercommunales, zou het dat niet nuttig zijn om een periodiek overleg te hebben?

nee ja

Omtrent welke domeinen?

beoordelingsoverleg

kennisdeling

veiligheidsbeleid

veiligheidsplan

Page 32: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 32

beleidsteksten

richtlijnen en instructies

bewustmakingsacties

checks

andere: (aanvullen)

Page 33: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 33

Bewustmaking

DOELGROEP(EN)

Wordt onderscheid gemaakt in verschillende doelpublieken van bewustmakingsacties?

nee ja

Zoja, in welke doelgroepen?

externe medewerkers

leden van het College van Burgemeesters en Schepenen

leden van het MAT

directeurs

teamcoaches

vlaggendragers

leden van de werkgroep

medewerkers die in aanrakening komen met persoonsgegevens

medewerkers die in aanrakening komen met bijzondere categorieën van

persoonsgegevens

medewerkers die in toegang hebben tot het Rijksregister

medewerkers die in toegang hebben tot de KSZ

andere: (aanvullen)

INHOUDELIJKE ACCENTEN

Welke accenten worden gelegd bij bewustmakingsacties?

geen

wordt per actie bepaald door de (adjunct-)veiligheidsconsulent

wordt op jaarbasis bepaald door de (adjunct-)veiligheidsconsulent

wordt per actie bepaald door de werkgroep informatiebeveiliging

wordt op jaarbasis bepaald door de werkgroep informatiebeveiliging

wordt per actie bepaald door het Management Team

wordt op jaarbasis bepaald door door het Management Team

wordt op jaarbasis bepaald door door het College van Burgemeester en Schepenen

wordt per actie bepaald door het Management Team

impact voor het data subject

Page 34: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 34

impact voor de organisatie

impact op de continuïteit van de dienst

impact op beschikbaarheid van de informatie

impact op confidentialiteit van de informatie

impact op integriteit van de informatie

veiligheidsincidenten en near misses

andere: (aanvullen)

Waarop wordt inhoudelijk gefocust?

wetgeving

statistieken

verhalen

praktische (gevolgen voor de) werking van de organisatie en de medewerkers

mogelijke gevolgen (incl. sancties) voor de organisatie

mogelijke gevolgen (incl. sancties) voor de organisatie

andere: (aanvullen)

KANALEN

Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente

bewustmakingsacties?

de rechtspositie van de (interne) medewerkers

de tewerkstellingsovereenkomst van de medewerkers

de deontologische code van de medewerkers

het handboek voor de (nieuwe) medewerkers

de functiebeschrijving van medewerkers

een kennisbank (incl. FAQ’s) voor de medewerkers (op het intranet)

een wiki voor de medewerkers (op het intranet)

andere: (aanvullen)

Welke kanalen (in ruime zin) (kunnen) worden aangewend voor permanente

bewustmakingsacties?

nieuwsberichten op het intranet

e-mailberichten aan de medewerkers

een (periodiek) verplicht te doorlopen “push” e-learningpakket (bijv. video)

Page 35: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 35

een (periodiek) verplicht te doorlopen interactief e-learningpakket

een (periodiek) verplicht te doorlopen theoretische test (kennis van de regels)

een (periodiek) verplicht te doorlopen praktische test (toepassing van de regels)

het personeelsblad

een specifieke nieuwsbrief

posters op de werkplek

checks die op de werkplek opvallen (bijv. clear desk checks)

pop-ups bij toegang tot (bepaalde) toepassingen

stempels op elk bureau om de informatieclassificatie door te voeren (als “gadget”)

de evaluatie van medewerkers

andere: (aanvullen)

Page 36: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 36

Financieel

BUDGET

Wordt er een afzonderlijk budget voor informatiebeveiliging geïnstalleerd?

nee ja

Zonee, op welke manier worden de benodigde middelen voor informatiebeveiliging

verzekerd?

de (adjunct-)veiligheidsconsulent kan voor specifieke grotere projecten een

budget opnemen in het veiligheidsplan

de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen

door een vraag voor te leggen aan het Management Team

tot een bepaald bedrag, namelijk (aanvullen)

de (adjunct-)veiligheidsconsulent kan te allen tijde de nodige middelen vragen

door een vraag voor te leggen aan het College van Burgemeester en Schepenen

tot een bepaald bedrag, namelijk (aanvullen)

Zoja, welke elementen vallen expliciet onder het specifieke budget?

budget voor opleiding van (adjunct-)veiligheidsconsulent

budget voor het opzetten van bewustmakingsacties

budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische

dienst, ...)

budget voor het betrekken van extern advies (bijv. bij een erkende

gespecialiseerde beveiligingsdienst, een extern jurist, …)

budget voor het betrekken van externe audits en/of externe forensische experts

andere: (aanvullen)

Zoja, welke elementen vallen expliciet niet onder het specifieke budget?

budget voor opleiding van (adjunct-)veiligheidsconsulent

budget voor het opzetten van bewustmakingsacties

budget voor het betrekken van intern advies (bijv. de IT dienst, de juridische

dienst, ...)

budget voor het betrekken van extern advies (bijv. bij een erkende

gespecialiseerde beveiligingsdienst, een extern jurist, …)

budget voor het betrekken van externe audits en/of externe forensische experts

andere: (aanvullen)

Zoja, wie is de budgethouder voor dit specifieke budget?

Page 37: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 37

de gemeentesecretaris

de directeur verantwoordelijk voor interne controle

de directeur verantwoordelijk voor IT

de interne (adjunct-)veiligheidsconsulent

andere: (aanvullen)

RAPPORTERING

Op welke manier wordt over het budget voor informatiebeveiliging gerapporteerd?

in een excel-bestand dat periodiek wordt overgemaakt

in een excel-bestand dat in een specifiek afgeschermde map wordt bewaard en

gedeeld met de budgethouder

via de interne budget-management-applicatie

andere: (aanvullen)

Hoe frequent wordt over het budget voor informatiebeveiliging gerapporteerd?

continu

wekelijks

maandelijks

tweemaandelijks

op kwartaalbasis

semestrieel

andere: (aanvullen)

Aan wie wordt over het budget voor informatiebeveiliging gerapporteerd?

de gemeentesecretaris

de directeur verantwoordelijk voor interne controle

de directeur verantwoordelijk voor IT

het management team

het College van Burgemeester en Schepenen

andere: (aanvullen)

Page 38: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 38

Transparantie

INTERN

RAPPORTERING

Jaarverslag

Op welke manier wordt de minimum-inhoud van het jaarverslag ingevuld?

1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in het

afgelopen jaar en de nog te realiseren doelstellingen

het algemeen overzicht van de veiligheidstoestand is beperkt tot een korte algemeen beschrijving (max. 1 pagina) een grafische voorstelling van de belangrijkste risico’s in een risico-matrix een statistische voorstelling van de vooruitgang in het veiligheidsplan (open, gepland, bezig, afgewerkt) de top drie risico’s het risico-register in extenso, desgevallend aangepast aan gewijzigde toestand de huidige status zonder toelichting van de elementen van het veiligheidsplan en de eventueel ad hoc toegevoegde elementen de huidige status met toelichting van de elementen van het veiligheidsplan en de

eventueel ad hoc toegevoegde elementen

andere: (aanvullen)

2. een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het

dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven

een lijst of tabel met betekenisvolle titels van de adviezen een samenvatting van 5 lijnen per adviezen per advies: datum per advies: door beslisser gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog) niet gekend per advies: bij implementatie gevolgd, gedeeltelijk gevolgd, niet gevolgd of (nog) niet gekend een samenvatting van aspecten van het advies die niet gevolgd zijn andere: (aanvullen)

3. een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent

samenkomsten met de (adjunct-)veiligheidsconsulenten opgemaakte privacy impact assessments contacten met de toezichthouders (CBPL, KSZ, VTC,…) andere: (aanvullen)

4. een overzicht van de resultaten van de controles, uitgevoerd door de

veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de

Page 39: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 39

informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden

kunnen brengen

formele controles die volgens een auditmethodologie werden uitgevoerd controles waarvan een schriftelijk rapport is opgemaakt vaststellingen die een impact kunnen hebben op de informatiebeveiliging, als ze gesignaleerd zijn aan de directeur die verantwoordelijk is voor het eventueel verhelpen van de situatie vaststellingen die een impact kunnen hebben op de informatiebeveiliging, ook als ze niet gesignaleerd zijn aan de directeur die verantwoordelijk is voor het eventueel verhelpen van de situatie veiligheidsincidenten per controle of vaststelling: de aard per controle of vaststelling: een (eind)datum of periode per controle of vaststelling: de scope (toepassingsgebied) per controle of vaststelling: de bevindingen per controle of vaststelling: of er regularisatiemaatregelen worden genomen en welke

andere: (aanvullen)

5. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid

alle gevoerde bewustmakingscampagnes die zelfs maar gedeeltelijk informatiebeveiliging aanraken gevoerde bewustmakingscampagnes die exclusief gewijd waren aan informatiebeveiliging alle geplande bewustmakingscampagnes die zelfs maar gedeeltelijk informatiebeveiliging aanraken geplande bewustmakingscampagnes die exclusief gewijd zouden zijn aan informatiebeveiliging per bewustmakingsactie: een beschrijving per bewustmakingsactie: het accent dat werd gelegd, als er een was per bewustmakingsactie: de doelgroep

per bewustmakingsactie: het gebruikte kanaal

andere: (aanvullen)

6. een overzicht van alle gevolgde opleidingen en van de geplande opleidingen

alle gevolgde opleidingen gevolgde opleidingen waarvoor betaald diende te worden gevolgde opleidingen waarvoor een test werd afgelegd gevolgde opleidingen waarvoor aanwezigheidsattest werd verstrekt alle geplande opleidingen geplande opleidingen waarvoor betaald dient te worden geplande opleidingen waarvoor een test zal dienen te worden afgelegd geplande opleidingen waarvoor aanwezigheidsattest zal worden verstrekt per opleiding: opleidingverstrekker per opleiding: titel van de opleiding

per opleiding: samenvatting van de inhoud van de opleiding

Page 40: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 40

andere: (aanvullen)

Welke elementen buiten de minimum-inhoud van het jaarverslag worden in het jaarverslag

opgenomen?

geen overzicht van de schriftelijke adviezen aan anderen dan het dagelijks bestuur overzicht van de belangrijkste niet-schriftelijke adviezen overzicht van de controles die niet zijn uitgevoerd door de veiligheidsconsulent (bijv. externe audits, checks door interne controle,…), maar wel relevant zijn voor informatiebeveiliging andere: (aanvullen)

Op welke periode slaat het jaarverslag?

het kalenderjaar, waarbij het eerste jaar op een ruimere periode kan slaan dan een jaar de periode van een jaar die loopt vanaf

de beslissing van de aanstelling van de veiligheidsconsulent de beslissing van goedkeuring van het veiligheidsbeleid de beslissing van goedkeuring van het veiligheidsplan volgende datum: (aanvullen)

andere: (aanvullen)

Door wie wordt formeel akte genomen van het jaarverslag?

het management team

het College van Burgemeester en Schepenen

de gemeenteraad

andere: (aanvullen)

Door wie wordt het jaarverslag voorgelegd voor het wordt voorgelegd aan het orgaan dat er

formeel akte van neemt?

de gemeentesecretaris

de directeur verantwoordelijk voor interne controle

de directeur verantwoordelijk voor IT

het management team

het College van Burgemeester en Schepenen

andere: (aanvullen)

Verdergaand

Wordt er verdergaande rapportering opgezet bovenop het jaarverslag?

nee ja

Zoja, op welke manier?

Page 41: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 41

kwartaalrapportering aan gemeentesecretaris

kwartaalrapportering aan management team

andere: (aanvullen)

CONTROLE DOOR DE GEMEENTERAAD

Welke controle wordt uitgevoerd op het veiligheidsbeleid en zijn implementatie door de

gemeenteraad?

vraagrecht van de gemeenteraadleden (40 5° GD), onder volgende voorwaarden

(aanvullen)

inzagerecht (30 en 40 4° GD), onder volgende voorwaarden (aanvullen)

rapportering naar een commissie binnen de gemeenteraad (39 en 40 6° GD),

namelijk (aanvullen)

andere: (aanvullen)

CONTROLE DOOR VLAANDEREN

Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de passieve

transparantie t.a.v. de toezichthoudende overheid (art. 250 en 254 GD)?

hierover wordt een bijzonder reglement opgemaakt in samenwerking met de

veiligheidsconsulent

vragen worden niet voorgelegd voor advies door de veiligheidsconsulent

vragen worden voorgelegd voor advies door de veiligheidsconsulent

andere: (aanvullen)

Op welke manier wordt het informatiebeveiligingsbeleid ingepast in de actieve transparantie

t.a.v. de toezichthoudende overheid (art. 252-253 GD)?

hierover wordt een bijzonder reglement opgemaakt in samenwerking met de

veiligheidsconsulent

wat de gemeente zou doorsturen, wordt voorgelegd voor advies door de

veiligheidsconsulent, tenzij een bijzonder reglement daarvan afwijkt

wat de gemeente zou doorsturen, wordt niet voorgelegd voor advies door de

veiligheidsconsulent

andere: (aanvullen)

DATA SUBJECTEN

Op welke manier zal de stad actief transparant zijn ten aanzien van de data subjecten?

hierover wordt een bijzonder reglement opgemaakt in samenwerking met de

veiligheidsconsulent

bij elke gegevensverzameling bij het data subject wordt een bijzondere privacyverklaring opgenomen die de minimale wettelijke informatie verstrekt

Page 42: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 42

bij elke gegevensverzameling bij het data subject wordt een bijzondere privacyverklaring opgenomen buiten specifieke informatie wordt verwezen naar een

algemene privacyverklaring

bij elke gegevensverzameling buiten het data subject om wordt deze ingelicht per brief indien de gegevensbron niet voldeed aan de informatieverstrekking aan het

data subject

er wordt een algemene privacyverklaring opgemaakt (per groep van data subjecten) waarnaar kan worden verwezen en waarin een overzicht van de

gegevensverwerkingen voor dat data subject is opgenomen

andere: (aanvullen)

Op welke manier zal de stad passief transparant zijn ten aanzien van de data subjecten?

hierover wordt een bijzonder reglement opgemaakt in samenwerking met de

veiligheidsconsulent

al dergelijke vragen van data subjecten worden voorgelegd aan de (adjunct-)

veiligheidsconsulent

al dergelijke vragen van data subjecten worden voorgelegd aan de juridische

dienst

andere: (aanvullen)

Page 43: Veiligheidsbeleid Steden en Gemeenten - vragenlijst

Veiligheidsbeleid – vragenlijst steden en gemeenten

@TommyVandepitte 43