Informatieveiligheid - V-ict-or

Informatieveiligheidsconsulent
23 sept 2014
Gent
Wie zijn ze wat doen ze …?
VERANTWOORDELIJKHEDEN
INFORMATIEVEILIGHEIDSCONSULENTEN
Wie moet een
informatieveiligheidsconsulent aanstellen?
• De verplichting tot het aanstellen ve
veiligheidsconsulent wordt in artikel 9 van het
decreet van 18 juli 2008 betreffende het
elektronische bestuurlijke gegevensverkeer (eGov decreet), vastgelegd voor elke instantie die:
- persoonsgegevens verwerkt,
- authentieke gegevensbron beheert,
- tussenkomt bij mededeling van
persoonsgegevens,
- ondersteunt bij gebruikers- en toegangsbeheer.
Wie moet een
informatieveiligheidsconsulent aanstellen?
• De veiligheidsconsulent moet aangesteld worden
door de directie, dagelijkse leiding van de
organisatie.
• De veiligheidsconsulent moet ook rapporteren
aan de directie.
Welke zijn de opdrachten en de rol
van een veiligheidsconsulent?
• Over het algemeen heeft de dienst belast met de
informatieveiligheid een adviserende, stimulerende,
documenterende en controlerende opdracht inzake
informatieveiligheid.
• De veiligheidsconsulent adviseert de verantwoordelijke
voor het dagelijks bestuur van zijn instelling, op diens
verzoek of op eigen initiatief, omtrent alle aspecten van
de informatieveiligheid.
• Het advies wordt schriftelijk en gemotiveerd uitgebracht,
tenzij de risico's niet voldoende ernstig zijn.
Welke zijn de opdrachten en de rol
van een veiligheidsconsulent?
• Het besluit van de Vlaamse Regering van 15 mei 2009 betreffende
de veiligheidsconsulenten geeft uitvoering aan artikel 9 van het
decreet van 18 juli 2008 betreffende het elektronische bestuurlijke
gegevensverkeer (e-govdecreet), nl. het bepalen van de opdrachten
en de manier van aanwijzing van die veiligheidsconsulenten.
• De Memorie van Toelichting bij het voornoemde artikel 9 van het egovdecreet verduidelijkt dat bij de verdere omschrijving van de taken
van de veiligheidsconsulenten de strengste voorwaarden die bij de
Kruispuntbank van de Sociale Zekerheid (KSZ) gelden, eveneens
voor de Vlaamse veiligheidsconsulenten zullen gelden.
• Vandaar dat in het specifieke uitvoeringsbesluit de bepaling van de
opdrachten en de aanwijzingsvereisten zijn omschreven naar
analogie met de KSZ-wet van 15 januari 1990 en het KB van 12
augustus 1993 houdende de organisatie van de informatieveiligheid
bij de instellingen van sociale zekerheid.
Welke zijn de opdrachten en de rol
van een veiligheidsconsulent?
• De veiligheidsconsulent zal er op toezien dat de verschillende
verantwoordelijkheden inzake veiligheid (preventie, toezicht,
opsporing en verwerking) duidelijk in kaart zijn gebracht en dat de
personen belast met de veiligheid in alle onafhankelijkheid kunnen
handelen en ervan gevrijwaard blijven dat ze voor persoonlijke - of
tegenstrijdige belangen onder druk worden gezet.
• Rechtstreeks rapporterend aan de directie van de instelling, moet hij
kunnen beschikken over voldoende middelen (tijd, human
ressources, uitrusting en budget) en vrijuit toegang hebben tot de
informatie die noodzakelijk is voor zijn functie en voor zover hij
binnen het kader van het veiligheidsbeleid blijft.
Welke zijn de opdrachten en de rol
van een veiligheidsconsulent?
• De veiligheidsconsulent stelt voor de verantwoordelijke voor het
dagelijks bestuur een ontwerp van veiligheidsplan op voor een
termijn van drie jaar, met vermelding van de middelen op jaarbasis
die vereist zijn om het plan uit te voeren.
Veiligheidsplan/jaarverslag:
Art. 10. “De veiligheidsconsulent stelt voor de
verantwoordelijke voor het dagelijks bestuur een ontwerp van
veiligheidsplan op voor een termijn van drie jaar, met
vermelding van de middelen op jaarbasis die vereist zijn om het
plan uit te voeren. Dat ontwerp wordt minstens eenmaal per
jaar herzien en zo nodig aangepast. Het ontwerp van
veiligheidsplan wordt beschouwd als een advies als vermeld
in artikel 3, 1°.”
Art. 11. “De veiligheidsconsulent stelt voor de
verantwoordelijke voor het dagelijks bestuur van de instantie of
de entiteit in kwestie jaarlijks een verslag op. (…)”
De veiligheidsconsulent als
personeelslid
Art. 7. De veiligheidsconsulent en zijn eventuele adjuncten
kunnen niet uit hun functie worden ontheven wegens
meningen die zij uiten of daden die zij stellen in het kader van
de goede uitoefening van hun functie.
Art. 8. De veiligheidsconsulent werkt onder het rechtstreekse
functionele gezag van de verantwoordelijke voor het dagelijks
bestuur van de instantie of de entiteit in kwestie. Hij werkt
nauw samen met de diensten waarin zijn optreden vereist is of
kan zijn, inzonderheid met de informaticadienst en de
preventieadviseur van de instantie of de entiteit in kwestie.
Advies
• Een veiligheidsconsulent (of zijn adjuncten) wordt pas aangesteld na
gunstig advies van de Vlaamse Toezichtcommissie. U kan de
adviesvraag richten aan de Vlaamse Toezichtcommissie via het
daarvoor ontworpen formulier.
• Er moet geen advies over de aanstelling van de
veiligheidsconsulent gevraagd worden aan de Vlaamse
Toezichtcommissie als de persoon in kwestie al is aangewezen als
consulent inzake informatieveiligheid en bescherming van de
persoonlijke levenssfeer overeenkomstig artikel 10 en 16 van de wet
van 8 augustus 1983 tot regeling van een Rijksregister van de
natuurlijke personen of overeenkomstig artikel 4, §5, of artikel 24,
25 en 46 van de wet van 15 januari 1990 houdende oprichting en
organisatie van een Kruispuntbank van de Sociale Zekerheid.
Beoordelingselementen kandidaten
• Voor de toezichtcommissie advies uitbrengt, gaat ze na
of de kandidaat:
1. voldoende gevormd is om zijn functie van
veiligheidsconsulent uit te oefenen;
2. over de vereiste tijd beschikt om zijn
veiligheidsopdrachten uit te voeren;
3. geen activiteiten uitoefent die onverenigbaar zijn met de
functie van veiligheidsconsulent.
Meer duiding vindt u in de antwoorden op onderstaande
vragen.
Welke kennis moet een
informatieveiligheidsconsulent hebben?
• De veiligheidsconsulent bezit een gedegen kennis van de
informaticaomgeving van de instantie of de entiteit in kwestie en van
de informatieveiligheid. Hij houdt die kennis permanent op peil.
Artikel 2, §2, van het besluit van de Vlaamse Regering van 15 mei
2009 betreffende de veiligheidsconsulenten bepaalt de criteria
waarmee rekening wordt gehouden:
1. Is de kandidaat voldoende gevormd?
De veiligheidsconsulent hoeft geen informaticus te zijn, maar
dient wel een goede kennis van informatica en
informatieveiligheid te bezitten door het volgen van opleidingen
of door werkervaring.
2. Beschikt de kandidaat over voldoende tijd om de specifieke
opdrachten van de functie te vervullen?
3. Oefent de kandidaat geen activiteiten uit die onverenigbaar zijn
met de functie van veiligheidsconsulent?
Welke functies zijn onverenigbaar met
informatieveiligheidsconsulent?
• Het is niet mogelijk een exhaustieve lijst te geven van
functies die onverenigbaar zijn met de functie van
veiligheidsconsulent.
• Het is aangewezen geval per geval te evalueren,
rekening houdend met de specificiteit van elke instelling.
• Het principe dat wordt toegepast is dat een persoon niet
tegelijk controleur en gecontroleerde mag zijn.
• Onderstaande functies zijn niet compatibel met deze van
veiligheidsconsulent:
– hoofd van de informaticadienst, coördinator informatisering,
hoofd van de personeelsdienst, … in het algemeen de
verantwoordelijke van de betrokken dienst.
Deontologische regels
informatieveiligheidsconsulent
• Een aantal deontologische regels voor de
informatieveiligheidsconsulent werden uitgewerkt door de
Kruispuntbank van de Sociale Zekerheid (KSZ) in een
ethische gedragscode. Deze code beoogt een grotere
waardering te geven aan de functie van
veiligheidsconsulent en omvat deontologische regels
m.b.t. onder meer:
–
–
–
–
zijn objectiviteit, onpartijdigheid en onafhankelijkheid;
zijn professionele ingesteldheid;
zijn loyaliteit ten opzichte van zijn werkgever;
het interdisciplinair en vertrouwelijk karakter van zijn functie.
• De code kan u raadplegen op de website van de KSZ.
Wie zijn ze wat doen ze …?
GEMEENTE - OCMW
INFORMATIEVEILIGHEIDSCONSULENTEN
Gemeente en OCMW eenzelfde
informatieveiligheidsconsulent?
• Ja. Deze persoon zal wel 2 verschillende
veiligheidsplannen moeten opmaken, een voor
de gemeente en een voor het OCMW.
• Meer informatie omtrent het optreden van een
veiligheidsconsulent voor gemeente en OCMW
vindt u op de website van de Kruispuntbank van
de Sociale Zekerheid (KSZ).
• Bijkomende informatie vindt u in de rubriek ‘FAQ
veiligheid en privacy’ op de website van de KSZ.
Minimale veiligheidsmaatregelen
gelden voor gemeente en OCMW?
• De OCMW behoren tot het netwerk van de
sociale zekerheid en moeten voldoen aan
de minimale veiligheidsmaatregelen die zijn
opgelegd door de Kruispuntbank van de Sociale
Zekerheid (KSZ). Daarnaast zijn door de
KSZ richtlijnen opgesteld met door iedere
instelling na te streven
veiligheidsdoeleindenm.b.t. alle domeinen van
de informatieveiligheid.
Minimale veiligheidsmaatregelen
gelden voor gemeente en OCMW?
• De gemeenten behoren niet tot het netwerk van de
sociale zekerheid.
• Omdat de samenwerking tussen gemeente en OCMW
steeds nauwer wordt, is het de bedoeling om het
veiligheidsniveau van de gemeente op te tillen naar het
niveau van het OCMW.
• Dergelijk proces vraagt tijd en inspanning.
• Eenvormige richtsnoeren informatieveiligheid die gelden
voor zowel OCMW als gemeente in Vlaanderen,
gebaseerd op de minimale veiligheidsnormen van de
KSZ.
Gemeente en OCMW als één entiteit
‘het lokaal bestuur’?
• Gemeente en OCMW zijn afzonderlijke entiteiten
en hebben elk hun specifieke finaliteiten.
Daardoor worden zij door de wet van 8
december 1992 tot bescherming van de
persoonlijke levenssfeer ten opzichte van de
verwerking van persoonsgegevens, beschouwd
als verschillende verantwoordelijken voor de
verwerking.
Gemeente en OCMW
één gemeenschappelijke netwerk?
• Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke
finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk
verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij
een gemeenschappelijk netwerk delen, maar er moeten voldoende
veiligheidsmaatregelen genomen worden:
1.
2.
3.
4.
toegang d.m.v. paswoord;
een lijst van gemachtigden van de gemeente en een lijst van
gemachtigden van OCMW;
toegang voor de gemachtigden van de gemeente moet beperkt
worden tot de finaliteiten van de gemeente, toegang voor de
gemachtigde van het OCMW moet beperkt worden tot de finaliteiten
van het OCMW;
bijhouden van loggings.
• Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid
willen uitbouwen, is een samenwerkingsakkoord tussen beiden
vereist.
Gemeente en OCMW
persoonsgegevens uitwisselen?
• Zij zijn dus elk verantwoordelijke voor de
verwerking van persoonsgegevens.
• Als zij onderling persoonsgegevens willen
uitwisselen, moet voor de elektronische
uitwisseling vooraf een machtiging worden
gevraagd.
Gemeente en OCMW
persoonsgegevens uitwisselen?
• Aan wie moet een machtiging gevraagd worden?
Worden persoonsgegevens vanuit de gemeente
meegedeeld aan het OCMW, dan is een
machtiging van de Vlaamse Toezichtcommissie
vereist.
• Worden persoonsgegevens vanuit het OCMW
meegedeeld aan de gemeente, dan is in principe
(op een paar uitzonderingen na die Vlaamse
bevoegdheid zijn het sectoraal comité van de
Sociale Zekerheid en de Gezondheid), afdeling
Sociale Zekerheid, bevoegd.
Aanbod V-ICT-OR …
BEGELEIDING - SENSIBILISEREN
Opleidingen
• Ééndaagse
– Voor management
– Info aanvullen
• Vijfdaagse
– Voor consulenten
– Info aanvullen
Besturen opstarten
• Begeleiding ter plaatse
– Veiligheidscel …
– Info aanvullen